CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
---|---|---|
6.4 | $0-$5k | 0.00 |
Eine sehr kritische Schwachstelle wurde in Google Android bis 6.0 (Smartphone Operating System) entdeckt. Hierbei geht es um unbekannter Programmcode der Komponente libutils. Mit der Manipulation durch Audio File kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-119. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
libutils in Android before 5.1.1 LMY48X and 6.0 before 2015-11-01 allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via a crafted audio file, aka internal bug 22953624.
Die Schwachstelle wurde am 02.09.2015 durch Daniel Micay als Nexus Security Bulletin, November 2015 in Form eines bestätigten Security Bulletins (Google Groups) veröffentlicht. Das Advisory kann von groups.google.com heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 21.08.2015 als CVE-2015-6609 statt. Die Schwachstelle ist sehr beliebt, und dies trotz ihrer hohen Komplexität. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $5k-$25k kostet (Preisberechnung vom 26.06.2022). Es kann davon ausgegangen werden, dass sich die Exploit-Preise für dieses Produkt in Zukunft steigend verhalten werden. Das Advisory weist darauf hin:
The affected functionality is provided as an API and there are multiple applications that allow it to be reached with remote content, most notably MMS and browser playback of media. This issue is rated as a Critical severity issue due to the possibility of remote code execution in a privileged service. The affected component has access to audio and video streams as well as access to privileges that third-party apps cannot normally access.
Dabei muss 30 Tage als nicht veröffentlichte Zero-Day Schwachstelle ausgegangen werden. Während dieser Zeit erzielte er wohl etwa $25k-$100k auf dem Schwarzmarkt.
Ein Upgrade auf die Version Build LMY48X oder 6.0 Security Patch Level 11-01-2015 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah 3 Monate nach der Veröffentlichung der Schwachstelle. Google hat hiermit gefährlich langsam reagiert.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (107819) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: 79009, 79008, 79007 und 79006.
Produkt
Typ
Hersteller
Name
Version
- 1.0
- 1.1
- 1.5
- 1.6
- 2.0
- 2.0.1
- 2.1
- 2.2
- 2.2.1
- 2.2.2
- 2.2.3
- 2.3
- 2.3.1
- 2.3.2
- 2.3.3
- 2.3.4
- 2.3.5
- 2.3.6
- 2.3.7
- 3.0
- 3.1
- 3.2
- 3.2.1
- 3.2.2
- 3.2.3
- 3.2.4
- 3.2.5
- 3.2.6
- 4.0
- 4.0.1
- 4.0.2
- 4.0.3
- 4.0.4
- 4.1
- 4.1.1
- 4.1.2
- 4.2
- 4.2.1
- 4.2.2
- 4.3
- 4.3.1
- 4.4
- 4.4.1
- 4.4.2
- 4.4.3
- 4.4.4
- 5.0
- 5.0.1
- 5.0.2
- 5.1
- 5.1.1
- 6.0
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 6.4
VulDB Base Score: 7.3
VulDB Temp Score: 6.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
---|---|---|---|---|---|
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Unbewiesen
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
0-Day | freischalten | freischalten | freischalten | freischalten |
---|---|---|---|---|
Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Upgrade: Android Build LMY48X/6.0 Security Patch Level 11-01-2015
Timeline
03.08.2015 🔍21.08.2015 🔍
02.09.2015 🔍
01.11.2015 🔍
02.11.2015 🔍
03.11.2015 🔍
03.11.2015 🔍
03.11.2015 🔍
26.06.2022 🔍
Quellen
Hersteller: google.comAdvisory: Nexus Security Bulletin, November 2015
Person: Daniel Micay
Status: Bestätigt
CVE: CVE-2015-6609 (🔍)
X-Force: 107819 - Google Android libutils code execution
SecurityTracker: 1034049
Vulnerability Center: 54125 - Google Android Remote Code Execution Vulnerability in libutils - CVE-2015-6609, Critical
scip Labs: https://www.scip.ch/?labs.20150917
Siehe auch: 🔍
Eintrag
Erstellt: 03.11.2015 16:05Aktualisierung: 26.06.2022 08:22
Anpassungen: 03.11.2015 16:05 (67), 10.03.2018 10:55 (6), 26.06.2022 08:22 (3)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.