Microsoft Internet Explorer bis 5 \127.0.0.1\C$ Information Disclosure
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.1 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine problematische Schwachstelle in Microsoft Internet Explorer bis 5 ausgemacht. Es geht um eine nicht näher bekannte Funktion. Durch Beeinflussen des Arguments 7.0.0.1\C$ mit unbekannten Daten kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Diese Verwundbarkeit ist als CVE-2012-6502 gelistet. Der Angriff kann über das Netzwerk angegangen werden. Es existiert kein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
Es wurde eine Schwachstelle in Microsoft Internet Explorer bis 5 (Web Browser) entdeckt. Sie wurde als problematisch eingestuft. Es geht dabei um eine unbekannte Verarbeitung. Mittels dem Manipulieren des Arguments \127.0.0.1\C$ mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-200 vorgenommen. Die Auswirkungen sind bekannt für die Vertraulichkeit. Die Zusammenfassung von CVE lautet:
Microsoft Internet Explorer before 10 allows remote attackers to obtain sensitive information about the existence of files, and read certain data from files, via a UNC share pathname in the SRC attribute of a SCRIPT element, as demonstrated by reading a name-value pair from a local file via a \\127.0.0.1\C$\ sequence.Die Schwachstelle wurde am 22.01.2013 (Website) publiziert. Das Advisory findet sich auf nsfocus.com. Die Identifikation der Schwachstelle wird seit dem 22.01.2013 mit CVE-2012-6502 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1592 bezeichnet.
Ein Aktualisieren auf die Version 6 vermag dieses Problem zu lösen.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (81728), SecurityFocus (BID 78071†) und Vulnerability Center (SBV-54652†) dokumentiert. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Support
Webseite
- Hersteller: https://www.microsoft.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.3VulDB Meta Temp Score: 4.1
VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
OpenVAS ID: 803302
OpenVAS Name: Microsoft Internet Explorer Domain Policy Bypass Vulnerability
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Internet Explorer 6
Timeline
28.12.2012 🔍22.01.2013 🔍
22.01.2013 🔍
22.01.2013 🔍
24.03.2015 🔍
29.11.2015 🔍
21.12.2021 🔍
Quellen
Hersteller: microsoft.comAdvisory: nsfocus.com
Status: Nicht definiert
CVE: CVE-2012-6502 (🔍)
GCVE (CVE): GCVE-0-2012-6502
GCVE (VulDB): GCVE-100-63387
X-Force: 81728
SecurityFocus: 78071
Vulnerability Center: 54652 - Microsoft Internet Explorer \x3C10 Remote Information Disclosure via UNC Pathname in Script Element, Low
Eintrag
Erstellt: 24.03.2015 12:22Aktualisierung: 21.12.2021 19:09
Anpassungen: 24.03.2015 12:22 (54), 07.04.2017 12:10 (1), 21.12.2021 19:09 (7)
Komplett: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.