Google Chrome 28.0.1500.95 Password schwache Verschlüsselung ⚔ [Infragegestellt]
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 3.9 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in Google Chrome 28.0.1500.95 entdeckt. Sie wurde als problematisch eingestuft. Das betrifft eine unbekannte Funktionalität der Komponente Password Handler. Dank Manipulation mit der Eingabe chrome://settings/passwords mit unbekannten Daten kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden.
Desweiteren ist ein Exploit verfügbar.
Die reale Existenz dieser Sicherheitslücke ist momentan noch umstritten.
Details
Es wurde eine problematische Schwachstelle in Google Chrome 28.0.1500.95 (Web Browser) entdeckt. Betroffen hiervon ist unbekannter Programmcode der Komponente Password Handler. Durch Beeinflussen mit der Eingabe chrome://settings/passwords kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-311 vorgenommen. Dies wirkt sich aus auf Vertraulichkeit und Integrität.
Die Schwachstelle wurde am 06.08.2013 durch Elliott Kember als Chrome's insane password security strategy in Form eines nicht definierten Postings (Website) publik gemacht. Auf news.ycombinator.com kann das Advisory eingesehen werden. Die Veröffentlichung geschah dabei ohne Koordination mit dem Hersteller. Sie gilt als leicht auszunutzen. Der Angriff hat dabei lokal zu erfolgen. Das Angehen einer einfachen Authentisierung ist erforderlich, um eine Ausnutzung anzugehen. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt. MITRE ATT&CK führt die Angriffstechnik T1600 für diese Schwachstelle.
Er wird als funktional gehandelt. Als 0-Day erzielte der Exploit wohl etwa $25k-$100k auf dem Schwarzmarkt. Die wahre Existenz der vermeintlichen Schwachstelle wird zur Zeit in Frage gestellt.
Ein Upgrade vermag dieses Problem zu beheben. Eine neue Version kann von chrome.google.com bezogen werden. Das Advisory stellt fest:
We've also been repeatedly asked why we don't just support a master password or something similar, even if we don't believe it works. We've debated it over and over again, but the conclusion we always come to is that we don't want to provide users with a false sense of security, and encourage risky behavior. We want to be very clear that when you grant someone access to your OS user account, that they can get at everything. Because in effect, that's really what they get.Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von OSVDB (96211†) dokumentiert. Weitere Informationen werden unter theguardian.com bereitgestellt. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.google.com/
- Produkt: https://www.google.com/chrome/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.4VulDB Meta Temp Score: 3.9
VulDB Base Score: 4.4
VulDB Temp Score: 3.9
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Schwache VerschlüsselungCWE: CWE-311 / CWE-310
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Nein
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Funktional
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Upgrade: chrome.google.com
Timeline
06.08.2013 🔍15.08.2013 🔍
08.05.2018 🔍
Quellen
Hersteller: google.comProdukt: google.com
Advisory: Chrome's insane password security strategy
Person: Elliott Kember
Status: Nicht definiert
Infragegestellt: 🔍
GCVE (VulDB): GCVE-100-9954
OSVDB: 96211
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Eintrag
Erstellt: 15.08.2013 17:52Aktualisierung: 08.05.2018 09:01
Anpassungen: 15.08.2013 17:52 (49), 08.05.2018 09:01 (2)
Komplett: 🔍
Cache ID: 216:82B:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.