Google Chrome 34.0.1847.115 software_frame_manager.cc swaptonewframe Remote Code Execution
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.4 | $0-$5k | 0.00 |
Zusammenfassung
In Google Chrome 34.0.1847.115 wurde eine kritische Schwachstelle ausgemacht. Betroffen hiervon ist die Funktion softwareframemanager::swaptonewframe der Datei content/browser/renderer_host/software_frame_manager.cc. Durch das Beeinflussen mit unbekannten Daten kann eine Remote Code Execution-Schwachstelle ausgenutzt werden.
Diese Sicherheitslücke ist unter CVE-2014-1718 bekannt. Es steht kein Exploit zur Verfügung.
Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
Eine kritische Schwachstelle wurde in Google Chrome 34.0.1847.115 (Web Browser) ausgemacht. Es geht hierbei um die Funktion softwareframemanager::swaptonewframe der Datei content/browser/renderer_host/software_frame_manager.cc. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Remote Code Execution-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-189. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
Integer overflow in the SoftwareFrameManager::SwapToNewFrame function in content/browser/renderer_host/software_frame_manager.cc in the software compositor in Google Chrome before 34.0.1847.116 allows remote attackers to cause a denial of service or possibly have unspecified other impact via vectors that trigger an attempted mapping of a large amount of renderer memory.Die Schwachstelle wurde am 08.04.2014 durch Christian Holler (Cloudfuzzer) von Google als Stable Channel Update in Form eines bestätigten Release Notess (Website) veröffentlicht. Auf googlechromereleases.blogspot.dk kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 29.01.2014 als CVE-2014-1718 statt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 73431 (FreeBSD : chromium -- multiple vulnerabilities (963413a5-bf50-11e3-a2d6-00262d5ed8ee)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family FreeBSD Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 166973 (OpenSuSE Security Update for chromium (openSUSE-SU-2014:0601-1)) zur Prüfung der Schwachstelle an.
Ein Upgrade auf die Version 34.0.1847.116 vermag dieses Problem zu beheben. Eine neue Version kann von chrome.google.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Google hat entsprechend sofort reagiert.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (92365), Tenable (73431), SecurityFocus (BID 66704†), Secunia (SA57506†) und Vulnerability Center (SBV-43959†) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter VDB-5661, VDB-5662, VDB-10842 und VDB-10843. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.google.com/
- Produkt: https://www.google.com/chrome/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 6.4
VulDB Base Score: 7.3
VulDB Temp Score: 6.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Remote Code ExecutionCWE: CWE-189
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Unbewiesen
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 73431
Nessus Name: FreeBSD : chromium -- multiple vulnerabilities (963413a5-bf50-11e3-a2d6-00262d5ed8ee)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
OpenVAS ID: 803358
OpenVAS Name: Google Chrome Multiple Vulnerabilities - 01 Apr14 (Windows)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Upgrade: Chrome 34.0.1847.116
Timeline
29.01.2014 🔍08.04.2014 🔍
08.04.2014 🔍
08.04.2014 🔍
08.04.2014 🔍
08.04.2014 🔍
09.04.2014 🔍
09.04.2014 🔍
16.04.2014 🔍
10.05.2026 🔍
Quellen
Hersteller: google.comProdukt: google.com
Advisory: Stable Channel Update
Person: Christian Holler (Cloudfuzzer)
Firma: Google
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2014-1718 (🔍)
GCVE (CVE): GCVE-0-2014-1718
GCVE (VulDB): GCVE-100-12986
OVAL: 🔍
IAVM: 🔍
X-Force: 92365 - Google Chrome compositor integer overflow, Medium Risk
SecurityFocus: 66704 - Google Chrome Prior to 34.0.1847.116 Multiple Security Vulnerabilities
Secunia: 57506 - Google Chrome Multiple Vulnerabilities, Highly Critical
Vulnerability Center: 43959 - Google Chrome Before 34.0.1847.116 Unspecified Remote Vulnerability due to Integer Overflow in Compositor, High
Siehe auch: 🔍
Eintrag
Erstellt: 16.04.2014 11:59Aktualisierung: 10.05.2026 03:30
Anpassungen: 16.04.2014 11:59 (87), 24.05.2017 11:38 (5), 17.06.2021 10:48 (3), 10.05.2026 03:30 (16)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.