Google Chrome bis 33.0.1750.149 auf Windows Clipboard erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.6 | $0-$5k | 0.00 |
Zusammenfassung
In Google Chrome bis 33.0.1750.149 für Windows wurde eine problematische Schwachstelle ausgemacht. Betroffen davon ist eine unbekannte Funktion der Komponente Clipboard Handler. Durch das Manipulieren mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2014-1714 gehandelt. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
Details
In Google Chrome bis 33.0.1750.149 auf Windows (Web Browser) wurde eine Schwachstelle ausgemacht. Sie wurde als problematisch eingestuft. Hierbei betrifft es unbekannter Programmcode der Komponente Clipboard Handler. Mittels Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-20. Dies wirkt sich aus auf die Integrität. CVE fasst zusammen:
The ScopedClipboardWriter::WritePickledData function in ui/base/clipboard/scoped_clipboard_writer.cc in Google Chrome before 33.0.1750.152 on OS X and Linux and before 33.0.1750.154 on Windows does not verify a certain format value, which allows remote attackers to cause a denial of service or possibly have unspecified other impact via vectors related to the clipboard.Die Schwachstelle wurde am 14.03.2014 von VUPEN als Stable Channel Update, March 2014 in Form eines bestätigten Changelog Entrys (Blog) an die Öffentlichkeit getragen. Auf googlechromereleases.blogspot.ch kann das Advisory eingesehen werden. Die Veröffentlichung wurde in Zusammenarbeit mit dem Hersteller durchgeführt. Eine eindeutige Identifikation der Schwachstelle wird seit dem 29.01.2014 mit CVE-2014-1714 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle. Als Preis für einen Exploit ist zur Zeit ungefähr mit USD $0-$5k zu rechnen (Preisberechnung vom 15.06.2021). Es kann davon ausgegangen werden, dass sich die Exploit-Preise für dieses Produkt in Zukunft steigend verhalten werden.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 73049 (FreeBSD : www/chromium -- multiple vulnerabilities (a70966a1-ac22-11e3-8d04-00262d5ed8ee)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family FreeBSD Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 166943 (OpenSuSE Security Update for chromium (openSUSE-SU-2014:0501-1)) zur Prüfung der Schwachstelle an.
Ein Upgrade auf die Version 33.0.1750.154 vermag dieses Problem zu beheben. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Google hat folglich unmittelbar reagiert.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (91810), Tenable (73049), SecurityFocus (BID 66252†), SecurityTracker (ID 1029940†) und Vulnerability Center (SBV-43629†) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: VDB-12468, VDB-12469, VDB-12470 und VDB-12471. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.google.com/
- Produkt: https://www.google.com/chrome/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 4.6
VulDB Base Score: 5.3
VulDB Temp Score: 4.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Unbewiesen
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 73049
Nessus Name: FreeBSD : www/chromium -- multiple vulnerabilities (a70966a1-ac22-11e3-8d04-00262d5ed8ee)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
OpenVAS ID: 803127
OpenVAS Name: Google Chrome Multiple Vulnerabilities-03 Mar2014 (Windows)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Upgrade: Chrome 33.0.1750.154
Timeline
29.01.2014 🔍14.03.2014 🔍
14.03.2014 🔍
14.03.2014 🔍
14.03.2014 🔍
16.03.2014 🔍
16.03.2014 🔍
18.03.2014 🔍
20.03.2014 🔍
15.06.2021 🔍
Quellen
Hersteller: google.comProdukt: google.com
Advisory: Stable Channel Update, March 2014
Firma: VUPEN
Status: Bestätigt
Bestätigung: 🔍
Koordiniert: 🔍
CVE: CVE-2014-1714 (🔍)
GCVE (CVE): GCVE-0-2014-1714
GCVE (VulDB): GCVE-100-12634
OVAL: 🔍
IAVM: 🔍
X-Force: 91810 - Google Chrome Windows clipboard unspecified, Medium Risk
SecurityFocus: 66252 - Google Chrome 'Clipboard::WriteData()' function Security Bypass Vulnerability
SecurityTracker: 1029940 - Google Chrome Bugs Let Remote Users Execute Arbitrary Code
Vulnerability Center: 43629 - Google Chrome <333.0.1750.152 or 33.0.1750.154 Remote DoS and Other Impact Related to Clipboard, High
Siehe auch: 🔍
Eintrag
Erstellt: 18.03.2014 09:28Aktualisierung: 15.06.2021 17:27
Anpassungen: 18.03.2014 09:28 (87), 23.05.2017 08:43 (6), 15.06.2021 17:27 (3)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.