Microsoft Visual Studio 2005 form laden load-Event erweiterte Rechte

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
8.4$0-$5k0.00

Zusammenfassunginfo

Eine Schwachstelle wurde in Microsoft Visual Studio 2005 gefunden. Sie wurde als problematisch eingestuft. Es geht um die Funktion Auslastung der Komponente Form Loader. Die Veränderung resultiert in Pufferüberlauf. Die Identifikation der Schwachstelle findet als CVE-2006-0187 statt. Darüber hinaus steht ein Exploit zur Verfügung. Es wird empfohlen, die betroffene Komponente durch eine Alternative zu ersetzen.

Detailsinfo

Das Programm Visual Studio ist die von der Firma Microsoft angebotene integrierte Entwicklungsumgebung für Hochsprachen. Im Visual Studio sind Module zur Entwicklung von Visual Basic, Visual C++ und Visual J++ enthalten. Wie nun herausgefunden wurde, kann beim Einlesen eines forms über einen speziellen Load-Befehl eigener Programmcode ausgeführt werden. Ein Angreifer kann dies nutzen, um das System eines Entwicklers zu kompromittieren. Genaue technische Details oder ein Exploit zur Schwachstelle liegen nicht vor. Als Workaround wird empfohlen, entweder auf andere Entwicklerplattformen zu setzen oder nur Quellen vertrauenswürdiger Herkunft zu öffnen. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (24116), SecurityFocus (BID 16225†), OSVDB (22332†) und Secunia (SA18409†) dokumentiert. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Selten ist es gesehen, dass Entwickler-Plattformen einem direkten Sicherheits-Risiko ausgesetzt sind. Dieses Beispiel hier zeigt aber deutlich, dass derlei Szenarien nicht abwegig sind. Gerade wenn gerne Sources aus dem Internet bezogen werden (z.B. planetsourcecode.com), muss man mit korruptem Code rechnen. Dass die Interpretation dessen unverzüglich mit dem Einlesen beginnt, ist natürlich ein verheehrender Fehler auf Seiten Microsofts.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 9.6
VulDB Meta Temp Score: 8.4

VulDB Base Score: 9.6
VulDB Temp Score: 8.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Pufferüberlauf
CWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Alternative
Status: 🔍

0-Day Time: 🔍
Exploit Delay Time: 🔍

Patch: microsoft.com

Timelineinfo

11.01.2006 🔍
11.01.2006 +0 Tage 🔍
11.01.2006 +0 Tage 🔍
12.01.2006 +0 Tage 🔍
12.01.2006 +0 Tage 🔍
12.01.2006 +0 Tage 🔍
12.01.2006 +0 Tage 🔍
13.01.2006 +1 Tage 🔍
20.04.2018 +4480 Tage 🔍

Quelleninfo

Hersteller: microsoft.com

Advisory: securityfocus.com
Person: priestmaster
Status: Nicht definiert

CVE: CVE-2006-0187 (🔍)
GCVE (CVE): GCVE-0-2006-0187
GCVE (VulDB): GCVE-100-1971
X-Force: 24116 - Microsoft Visual Studio UserControl.Load code execution, Medium Risk
SecurityFocus: 16225
Secunia: 18409 - Microsoft Visual Studio User Control Load Event Vulnerability, Less Critical
OSVDB: 22332 - Microsoft Visual Studio UserControl Load Event Code Execution
Vupen: ADV-2006-0151

scip Labs: https://www.scip.ch/?labs.20161013

Eintraginfo

Erstellt: 12.01.2006 11:58
Aktualisierung: 20.04.2018 09:41
Anpassungen: 12.01.2006 11:58 (70), 20.04.2018 09:41 (9)
Komplett: 🔍
Cache ID: 216::103

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!