CVSS Meta Temp Score	Aktueller Exploitpreis (≈)	CTI Interest Score
6.6	$5k-$25k	0.00

Eine kritische Schwachstelle wurde in Google Chrome bis 20.0.1132.57 (Web Browser) entdeckt. Betroffen davon ist ein unbekannter Prozess der Komponente PDF Viewer. Durch die Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-119. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

Multiple unspecified vulnerabilities in the PDF functionality in Google Chrome before 21.0.1180.57 on Mac OS X and Linux, and before 21.0.1180.60 on Windows and Chrome Frame, allow remote attackers to have an unknown impact via a crafted document.

Die Schwachstelle wurde am 31.07.2012 durch Gynvael Coldwind und Mateusz Jurczyk (Trev) von Google Security Team als Stable Channel Release in Form eines nicht definierten Changelog Entrys (Website) veröffentlicht. Das Advisory kann von googlechromereleases.blogspot.ch heruntergeladen werden. Die Herausgabe geschah hierbei in Zusammenarbeit mit dem Hersteller. Die Identifikation der Schwachstelle findet seit dem 19.05.2012 als CVE-2012-2850 statt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind zwar keine technische Details, jedoch ein privater Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $5k-$25k kostet (Preisberechnung vom 29.04.2018). Es kann davon ausgegangen werden, dass sich die Exploit-Preise für dieses Produkt in Zukunft steigend verhalten werden.

Er wird als proof-of-concept gehandelt. Für den Vulnerability Scanner Nessus wurde am 13.08.2012 ein Plugin mit der ID 61505 (FreeBSD : chromium -- multiple vulnerabilities (ce84e136-e2f6-11e1-a8ca-00262d5ed8ee)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family FreeBSD Local Security Checks zugeordnet und im Kontext l ausgeführt.

Ein Upgrade auf die Version 21.0.1180.57 vermag dieses Problem zu beheben. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Google hat hiermit sofort reagiert.

Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Tenable (61505) dokumentiert. Heise diskutiert den Sachverhalt in deutscher Sprache. Die Schwachstellen 5884, 5885, 5886 und 5887 sind ähnlich.

Produktinfo

Typ

• Web Browser

Hersteller

• Google

Name

• Chrome

Version

• 20.0.1132.0
• 20.0.1132.1
• 20.0.1132.2
• 20.0.1132.3
• 20.0.1132.4
• 20.0.1132.5
• 20.0.1132.6
• 20.0.1132.7
• 20.0.1132.8
• 20.0.1132.9
• 20.0.1132.10
• 20.0.1132.11
• 20.0.1132.12
• 20.0.1132.13
• 20.0.1132.14
• 20.0.1132.15
• 20.0.1132.16
• 20.0.1132.17
• 20.0.1132.18
• 20.0.1132.19
• 20.0.1132.20
• 20.0.1132.21
• 20.0.1132.22
• 20.0.1132.23
• 20.0.1132.24
• 20.0.1132.25
• 20.0.1132.26
• 20.0.1132.27
• 20.0.1132.28
• 20.0.1132.29
• 20.0.1132.30
• 20.0.1132.31
• 20.0.1132.32
• 20.0.1132.33
• 20.0.1132.34
• 20.0.1132.35
• 20.0.1132.36
• 20.0.1132.37
• 20.0.1132.38
• 20.0.1132.39
• 20.0.1132.40
• 20.0.1132.41
• 20.0.1132.42
• 20.0.1132.43
• 20.0.1132.44
• 20.0.1132.45
• 20.0.1132.46
• 20.0.1132.47
• 20.0.1132.48
• 20.0.1132.49
• 20.0.1132.50
• 20.0.1132.51
• 20.0.1132.52
• 20.0.1132.53
• 20.0.1132.54
• 20.0.1132.55
• 20.0.1132.56
• 20.0.1132.57

Lizenz

• free

CPE 2.3info

• 🔍
• 🔍
• 🔍

CPE 2.2info

• 🔍
• 🔍
• 🔍

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 7.3
VulDB Meta Temp Score: 6.6

VulDB Base Score: 7.3
VulDB Temp Score: 6.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vektor	Komplexität	Authentisierung	Vertraulichkeit	Integrität	Verfügbarkeit
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Pufferüberlauf
CWE: CWE-119
ATT&CK: Unbekannt

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: Privat
Status: Proof-of-Concept

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Day	freischalten	freischalten	freischalten	freischalten
Heute	freischalten	freischalten	freischalten	freischalten

Nessus ID: 61505
Nessus Name: FreeBSD : chromium -- multiple vulnerabilities (ce84e136-e2f6-11e1-a8ca-00262d5ed8ee)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

OpenVAS ID: 71505
OpenVAS Name: FreeBSD Ports: chromium
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍

Upgrade: Chrome 21.0.1180.57

Timelineinfo

19.05.2012 🔍
31.07.2012 +73 Tage 🔍
31.07.2012 +0 Tage 🔍
31.07.2012 +0 Tage 🔍
01.08.2012 +1 Tage 🔍
01.08.2012 +0 Tage 🔍
06.08.2012 +5 Tage 🔍
09.08.2012 +3 Tage 🔍
13.08.2012 +4 Tage 🔍
29.04.2018 +2085 Tage 🔍

Quelleninfo

Hersteller: google.com
Produkt: google.com

Advisory: Stable Channel Release
Person: Gynvael Coldwind, Mateusz Jurczyk (Trev)
Firma: Google Security Team
Status: Nicht definiert
Bestätigung: 🔍
Koordiniert: 🔍

CVE: CVE-2012-2850 (🔍)
OVAL: 🔍

SecurityFocus: 54749 - Google Chrome Prior to 21 Multiple Security Vulnerabilities
Secunia: 50105 - Google Chrome Multiple Vulnerabilities, Highly Critical
OSVDB: 84370

Heise: 1663889
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍

Eintraginfo

Erstellt: 09.08.2012 13:22
Aktualisierung: 29.04.2018 10:27
Anpassungen: 09.08.2012 13:22 (79), 29.04.2018 10:27 (7)
Komplett: 🔍

Diskussion

Do you need the next level of professionalism?

Upgrade your account now!