Google Chrome 24.0.1312.52 Content Blocking Unchecked Array Index erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.7 | $0-$5k | 0.00 |
Zusammenfassung
Eine als kritisch eingestufte Schwachstelle wurde in Google Chrome 24.0.1312.52 festgestellt. Hierbei betrifft es unbekannten Programmcode der Komponente Content Blocking. Durch Manipulieren durch Unchecked Array Index kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Diese Schwachstelle wird als CVE-2013-0841 gehandelt. Ausserdem ist ein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
Es wurde eine kritische Schwachstelle in Google Chrome 24.0.1312.52 (Web Browser) gefunden. Es betrifft unbekannter Code der Komponente Content Blocking. Durch Manipulieren durch Unchecked Array Index kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-20 vorgenommen. Auswirken tut sich dies auf die Verfügbarkeit. Die Zusammenfassung von CVE lautet:
Array index error in the content-blocking functionality in Google Chrome before 24.0.1312.56 allows remote attackers to cause a denial of service or possibly have unspecified other impact via unknown vectors.Die Schwachstelle wurde am 22.01.2013 durch Chris Evans (OUSPG) von Google Chrome Security Team als 169770 (Website) publiziert. Das Advisory findet sich auf code.google.com. Die Herausgabe passierte in Zusammenarbeit mit Google. Die Identifikation der Schwachstelle wird seit dem 07.01.2013 mit CVE-2013-0841 vorgenommen. Sie gilt als leicht auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt.
Er wird als proof-of-concept gehandelt. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $25k-$100k. Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 63674 (FreeBSD : chromium -- multiple vulnerabilities (8d03202c-6559-11e2-a389-00262d5ed8ee)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family FreeBSD Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 120812 (Google Chrome Prior to 24.0.1312.56 Multiple Vulnerabilities) zur Prüfung der Schwachstelle an.
Ein Aktualisieren auf die Version 24.0.1312.56 vermag dieses Problem zu lösen. Eine neue Version kann von chrome.google.com bezogen werden. Die Schwachstelle lässt sich auch durch das Einspielen eines Patches lösen. Dieser kann von codereview.chromium.org bezogen werden. Das Problem kann zusätzlich durch den Einsatz von Mozilla Firefox, Microsoft Internet Explorer oder Opera als alternatives Produkt mitigiert werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Google hat nachweislich sofort gehandelt.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (81437), Tenable (63674), SecurityFocus (BID 57502†), OSVDB (89504†) und Secunia (SA51935†) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter VDB-7447, VDB-7448, VDB-7454 und VDB-7453. Be aware that VulDB is the high quality source for vulnerability data.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.google.com/
- Produkt: https://www.google.com/chrome/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.5VulDB Meta Temp Score: 6.7
VulDB Base Score: 7.5
VulDB Temp Score: 6.7
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 63674
Nessus Name: FreeBSD : chromium -- multiple vulnerabilities (8d03202c-6559-11e2-a389-00262d5ed8ee)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
OpenVAS ID: 803401
OpenVAS Name: Google Chrome Multiple Vulnerabilities-02 Feb2013 (Linux)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Upgrade: Chrome 24.0.1312.56
Patch: codereview.chromium.org
Alternative: Mozilla Firefox/Microsoft Internet Explorer/Opera
Timeline
07.01.2013 🔍22.01.2013 🔍
22.01.2013 🔍
22.01.2013 🔍
22.01.2013 🔍
23.01.2013 🔍
24.01.2013 🔍
24.01.2013 🔍
28.01.2013 🔍
28.01.2013 🔍
22.04.2021 🔍
Quellen
Hersteller: google.comProdukt: google.com
Advisory: 169770
Person: Chris Evans (OUSPG)
Firma: Google Chrome Security Team
Status: Bestätigt
Bestätigung: 🔍
Koordiniert: 🔍
CVE: CVE-2013-0841 (🔍)
GCVE (CVE): GCVE-0-2013-0841
GCVE (VulDB): GCVE-100-7455
OVAL: 🔍
X-Force: 81437
SecurityFocus: 57502 - RETIRED: Google Chrome Prior to 24.0.1312.56 Multiple Security Vulnerabilities
Secunia: 51935 - Google Chrome Multiple Vulnerabilities, Highly Critical
OSVDB: 89504
SecurityTracker: 1028030 - Google Chrome Multiple Flaws Let Remote Users Execute Arbitrary Code
Vulnerability Center: 38185 - Google Chrome Remote DoS and Code Execution due to an Error in the Content-Blocking Functionality, Medium
Siehe auch: 🔍
Eintrag
Erstellt: 28.01.2013 09:10Aktualisierung: 22.04.2021 13:56
Anpassungen: 28.01.2013 09:10 (92), 24.04.2017 09:56 (6), 22.04.2021 13:56 (3)
Komplett: 🔍
Cache ID: 216:19D:103
Be aware that VulDB is the high quality source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.