| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.1 | $0-$5k | 0.00 |
Eine kritische Schwachstelle wurde in Oracle Java JRE 7 Update 9 (Programming Language Software) ausgemacht. Davon betroffen ist eine unbekannte Funktion der Datei MidiDevice.Info. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Race Condition-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-362. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit.
Eingeführt wurde der Fehler am 16.10.2012. Die Schwachstelle wurde am 27.11.2012 als java-zero-day-exploit-on-sale-for-five-digits in Form eines nicht definierten Postings (Website) veröffentlicht. Das Advisory kann von krebsonsecurity.com heruntergeladen werden. Die Herausgabe geschah hierbei ohne Zusammenarbeit mit dem Hersteller. Sie ist schwierig ausnutzbar. Der Angriff kann über das Netzwerk passieren. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 12.12.2012).
Er wird als proof-of-concept gehandelt. Dabei muss 42 Tage als nicht veröffentlichte Zero-Day Schwachstelle ausgegangen werden. Während dieser Zeit erzielte er wohl etwa $5k-$25k auf dem Schwarzmarkt.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Unter krebsonsecurity.com werden zusätzliche Informationen bereitgestellt.
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.5VulDB Meta Temp Score: 7.1
VulDB Base Score: 7.5
VulDB Temp Score: 7.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Race ConditionCWE: CWE-362
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Timeline
16.10.2012 🔍27.11.2012 🔍
27.11.2012 🔍
08.12.2012 🔍
12.12.2012 🔍
12.12.2012 🔍
Quellen
Hersteller: oracle.comAdvisory: java-zero-day-exploit-on-sale-for-five-digits
Status: Nicht definiert
SecurityFocus: 56706 - Oracle Java Runtime Environment 'MidiDevice.Info' Class Remote Code Execution Vulnerability
OSVDB: 88297
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Eintrag
Erstellt: 12.12.2012 14:39Anpassungen: 12.12.2012 14:39 (51)
Komplett: 🔍
Editor: olku
Cache ID: 18:569:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.