Google Chrome DocumentStyleSheetCollection.cpp addStyleSheetCandidateNode Remote Code Execution
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.0 | $0-$5k | 0.00 |
In Google Chrome - eine genaue Versionsangabe ist nicht möglich - (Web Browser) wurde eine Schwachstelle ausgemacht. Sie wurde als kritisch eingestuft. Das betrifft die Funktion DocumentStyleSheetCollection::addStyleSheetCandidateNode der Datei dom/DocumentStyleSheetCollection.cpp. Die genauen Auswirkungen eines erfolgreichen Angriffs sind bisher nicht bekannt.
Die Schwachstelle wurde am 09.08.2013 als 270272 in Form eines nicht definierten Changelog Entrys (Website) an die Öffentlichkeit getragen. Das Advisory kann von code.google.com heruntergeladen werden. Die Veröffentlichung wurde in Zusammenarbeit mit dem Hersteller durchgeführt. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. Der folgende Code generiert das Problem:
TreeScope* treeScope = node->treeScope();
Ein Upgrade vermag dieses Problem zu beheben. Eine neue Version kann von chrome.google.com bezogen werden. Die Schwachstelle lässt sich auch durch das Einspielen eines Patches beheben. Dieser kann von chromium.googlesource.com bezogen werden. Als bestmögliche Massnahme wird das Einspielen des entsprechenden Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat offensichtlich unmittelbar reagiert. Die Schwachstelle wird durch folgenden Code angegangen:
TreeScope* treeScope = scopingNode ? scopingNode->treeScope() : m_document;
Mit dieser Schwachstelle verwandte Einträge finden sich unter 9917, 9915, 9914 und 9912.
Produkt
Typ
Hersteller
Name
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 7.0
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Remote Code ExecutionCWE: Unbekannt
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Upgrade: chrome.google.com
Patch: chromium.googlesource.com
Timeline
09.08.2013 🔍09.08.2013 🔍
12.08.2013 🔍
07.06.2017 🔍
Quellen
Hersteller: google.comProdukt: google.com
Advisory: 270272
Status: Nicht definiert
Bestätigung: 🔍
Koordiniert: 🔍
OSVDB: 96148 - Google Chrome DocumentStyleSheetCollection Functions Node Handling Unspecified Impact
Siehe auch: 🔍
Eintrag
Erstellt: 12.08.2013 17:21Aktualisierung: 07.06.2017 15:07
Anpassungen: 12.08.2013 17:21 (50), 07.06.2017 15:07 (1)
Komplett: 🔍
Editor:
Cache ID: 3:40E:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.