Vulnerability ID 5449

Google Chrome bis 19.0.1084.51 Denial of Service

Google
CVSSv3 Temp ScoreAktueller Exploitpreis (≈)
7.2$2k-$5k

In Google Chrome bis 19.0.1084.51, ein Webbrowser, wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Hierbei betrifft es eine unbekannte Funktion. Durch Manipulation mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. Dies hat Einfluss auf die Verfügbarkeit.

Die Schwachstelle wurde am 23.05.2012 durch Abhishek Arya (Inferno) von Google Chrome Security Team als 118018 in Form eines bestätigten Knowledge Base Articles (Website) öffentlich gemacht. Bereitgestellt wird das Advisory unter code.google.com. Die Veröffentlichung passierte hierbei in Koordination mit Google. Die Verwundbarkeit wird seit dem 09.08.2011 als CVE-2011-3104 geführt. Sie ist leicht auszunutzen. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind zwar keine technische Details, jedoch ein privater Exploit zur Schwachstelle bekannt.

Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 59281 (FreeBSD : chromium -- multiple vulnerabilities (219d0bfd-a915-11e1-b519-00262d5ed8ee)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family FreeBSD Local Security Checks zugeordnet.

Ein Aktualisieren auf die Version 19.0.1084.52 vermag dieses Problem zu lösen. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat demnach unmittelbar gehandelt.

Mitunter wird der Fehler auch in den Datenbanken von SecurityFocus (BID 53679), X-Force (75842), Secunia (SA49277), SecurityTracker (ID 1027098) und Vulnerability Center (SBV-35169) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter 5448, 5450, 5451 und 5452.

CVSSv3

Base Score: 7.5 [?]
Temp Score: 7.2 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:X/RL:O/RC:C [?]
Zuverlässigkeit: High

CVSSv2

Base Score: 7.8 (CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C) [?]
Temp Score: 6.8 (CVSS2#E:ND/RL:OF/RC:C) [?]
Zuverlässigkeit: High

AVACAuCIA
LHMNNN
AMSPPP
NLNCCC
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
LocalHighMultipleNoneNoneNone
AdjacentMediumSinglePartialPartialPartial
NetworkLowNoneCompleteCompleteComplete

CPE

Exploiting

Klasse: Denial of Service (CWE-119)
Lokal: Nein
Remote: Ja

Verfügbarkeit: Ja
Zugang: Privat

Aktuelle Preisschätzung: $25k-$50k (0-day) / $2k-$5k (Heute)

0-Day$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k
Heute$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k


Nessus ID: 59281
Nessus Name: FreeBSD : chromium -- multiple vulnerabilities (219d0bfd-a915-11e1-b519-00262d5ed8ee)
Nessus File: freebsd_pkg_219d0bfda91511e1b51900262d5ed8ee.nasl
Nessus Family: FreeBSD Local Security Checks
OpenVAS ID: 71365
OpenVAS Name: FreeBSD Ports: chromium
OpenVAS File: freebsd_chromium11.nasl
OpenVAS Family: FreeBSD Local Security Checks

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Chrome 19.0.1084.52

Timeline

09.08.2011 CVE zugewiesen
23.05.2012 +288 Tage Advisory veröffentlicht
23.05.2012 +0 Tage Gegenmassnahme veröffentlicht
23.05.2012 +0 Tage VulnerabilityCenter Eintrag zugewiesen
24.05.2012 +1 Tage NVD veröffentlicht
25.05.2012 +1 Tage OSVDB Eintrag erstellt
28.05.2012 +3 Tage VulnerabilityCenter Eintrag erstellt
30.05.2012 +2 Tage VulDB Eintrag erstellt
18.05.2014 +718 Tage VulnerabilityCenter Eintrag aktualisiert
08.07.2015 +417 Tage VulDB Eintrag aktualisiert

Quellen

Advisory: 118018
Person: Abhishek Arya (Inferno)
Firma: Google Chrome Security Team
Status: Bestätigt
Bestätigung: code.google.com
Koordiniert: Ja

CVE: CVE-2011-3104 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityFocus: 53679 - Google Chrome Prior to 19.0.1084.52 Multiple Security Vulnerabilities
Secunia: 49277 - Google Chrome Multiple Vulnerabilities, Highly Critical
X-Force: 75842
SecurityTracker: 1027098 - Google Chrome Multiple Flaws Let Remote Users Execute Arbitrary Code
Vulnerability Center: 35169 - Google Chrome \x3C19.0.1084.52 Remote DoS or Code Execution Vulnerability via Unspecified Vectors, Medium
OSVDB: 82228 - Google Skia Unspecified Out-of-bounds Read Issue

Siehe auch: 5448, 5450, 5451, 5452, 5453, 5454, 5455, 5456, 5457, 5458, 5459, 5460, 6158, 6403

Eintrag

Erstellt: 30.05.2012
Aktualisierung: 08.07.2015
Eintrag: 94.4% komplett