| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.1 | $0-$5k | 0.00 |
Eine problematische Schwachstelle wurde in Microsoft Internet Explorer 10 (Web Browser) ausgemacht. Dies betrifft die Funktion localStorage der Komponente HTML5 Engine. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-404. Das hat Auswirkungen auf die Verfügbarkeit.
Eingeführt wurde der Fehler am 12.04.2011. Die Schwachstelle wurde am 27.02.2013 durch Feross Aboukhadijeh als Introducing the new HTML5 Hard Disk Filler™ API in Form eines nicht definierten Exploits (Website) veröffentlicht. Das Advisory kann von feross.org heruntergeladen werden. Die Herausgabe geschah hierbei ohne Zusammenarbeit mit dem Hersteller. Das Ausnutzen gilt als leicht. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1499.
Ein öffentlicher Exploit wurde durch Feross Aboukhadijeh in HTML5 umgesetzt und sofort nach dem Advisory veröffentlicht. Unter filldisk.com wird der Exploit bereitgestellt. Er wird als hoch funktional gehandelt. Dabei muss 687 Tage als nicht veröffentlichte Zero-Day Schwachstelle ausgegangen werden. Während dieser Zeit erzielte er wohl etwa $5k-$25k auf dem Schwarzmarkt.
Ein Upgrade vermag dieses Problem zu beheben.
Unter bbc.co.uk werden zusätzliche Informationen bereitgestellt. Die Einträge 8431, 8433 und 8434 sind sehr ähnlich.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Support
- end of life
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 5.1
VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Hoch funktional
Autor: Feross Aboukhadijeh
Programmiersprache: 🔍
Download: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Exploit Delay Time: 🔍
Timeline
12.04.2011 🔍27.02.2013 🔍
27.02.2013 🔍
18.04.2013 🔍
07.05.2019 🔍
Quellen
Hersteller: microsoft.comAdvisory: Introducing the new HTML5 Hard Disk Filler™ API
Person: Feross Aboukhadijeh
Status: Nicht definiert
OSVDB: 92284
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 18.04.2013 10:45Aktualisierung: 07.05.2019 12:38
Anpassungen: 18.04.2013 10:45 (58), 07.05.2019 12:38 (2)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.