Google Chrome 0.2.149.29/0.2.149.30 windowopen erweiterte Rechte

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.1$0-$5k0.00

In Google Chrome 0.2.149.29/0.2.149.30 (Web Browser) wurde eine problematische Schwachstelle entdeckt. Dabei geht es um die Funktion windowopen. Durch Beeinflussen mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-20. Auswirken tut sich dies auf die Verfügbarkeit. Die Zusammenfassung von CVE lautet:

Google Chrome 0.2.149.29 and 0.2.149.30 allows remote attackers to cause a denial of service (memory consumption) via an HTML document containing a carriage return ("\r\n\r\n") argument to the window.open function.

Die Schwachstelle wurde am 30.09.2008 (Website) öffentlich gemacht. Das Advisory findet sich auf securityfocus.com. Die Verwundbarkeit wird seit dem 30.09.2008 als CVE-2008-4340 geführt. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt.

Der Exploit wird unter securityfocus.com zur Verfügung gestellt. Er wird als hoch funktional gehandelt. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $25k-$100k.

Ein Aktualisieren vermag dieses Problem zu lösen. Eine neue Version kann von chrome.google.com bezogen werden.

Unter anderem wird der Fehler auch in den Datenbanken von X-Force (45403) und Exploit-DB (6554) dokumentiert.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.3
VulDB Meta Temp Score: 5.1

VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-20
ATT&CK: Unbekannt

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Hoch funktional
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Exploit-DB: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: keine Massnahme bekannt
Status: 🔍

0-Day Time: 🔍

Upgrade: chrome.google.com

Timelineinfo

24.09.2008 🔍
30.09.2008 +6 Tage 🔍
30.09.2008 +0 Tage 🔍
30.09.2008 +0 Tage 🔍
17.03.2015 +2359 Tage 🔍
09.10.2018 +1302 Tage 🔍

Quelleninfo

Hersteller: google.com
Produkt: google.com

Advisory: securityfocus.com
Status: Nicht definiert

CVE: CVE-2008-4340 (🔍)
X-Force: 45403 - Google Chrome carriage return denial of service
SecurityFocus: 31375 - Google Chrome Carriage Return Remote Denial of Service Vulnerability

scip Labs: https://www.scip.ch/?labs.20161013

Eintraginfo

Erstellt: 17.03.2015 16:11
Aktualisierung: 09.10.2018 10:54
Anpassungen: 17.03.2015 16:11 (58), 09.10.2018 10:54 (2)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you know our Splunk app?

Download it now for free!