Microsoft Internet Explorer 7 पर Win XP Address Bar document.open कमजोर प्रमाणीकरण

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
5.7$0-$5k0.00

सारांशजानकारी

एक भेद्यता जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Microsoft Internet Explorer 7 पर Win XP में खोजी गई है। प्रभावित तत्त्व है document.open नामक कार्य और Address Bar घटक से संबंधित है। यह परिवर्तन कमजोर प्रमाणीकरण का कारण बनता है। इस भेद्यता को CVE-2007-3826 के रूप में ट्रेड किया जाता है। यह हमला दूर से किया जा सकता है। कोई एक्सप्लॉइट उपलब्ध नहीं है. यह अनुशंसा की जाती है कि प्रभावित घटक को अपग्रेड किया जाए।

विवरणजानकारी

एक भेद्यता जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Microsoft Internet Explorer 7 पर Win XP में खोजी गई है। प्रभावित तत्त्व है document.open नामक कार्य और Address Bar घटक से संबंधित है। यह परिवर्तन कमजोर प्रमाणीकरण का कारण बनता है। समस्या को घोषित करने के लिए CWE का उपयोग करने से CWE-290 की ओर ले जाता है। यह समस्या 27/07/2005 के दौरान आई थी. यह कमजोरी प्रकाशित हुई थी 17/07/2007 द्वारा Michal Zalewski (वेबसाइट). us-cert.gov पर यह परामर्श डाउनलोड हेतु उपलब्ध कराया गया है।

इस भेद्यता को CVE-2007-3826 के रूप में ट्रेड किया जाता है। CVE असाइनमेंट 17/07/2007 पर हुआ था. यह हमला दूर से किया जा सकता है। तकनीकी विवरण उपलब्ध हैं. यह भेद्यता सामान्य से कम लोकप्रिय है। कोई एक्सप्लॉइट उपलब्ध नहीं है. फिलहाल एक्सप्लॉइट की कीमत might be approx. USD $0-$5k है।

इसे अवधारणा प्रमाण घोषित किया गया है। इस भेद्यता को कम से कम 720 दिनों के लिए गैर-प्रकाशित ज़ीरो-डे एक्सप्लॉइट के रूप में माना गया था। 0-डे के रूप में इसका अनुमानित अंडरग्राउंड मूल्य लगभग $25k-$100k था. Nessus द्वारा 26963 आईडी वाला एक प्लगइन दिया गया है। इसे Windows : Microsoft Bulletins फैमिली के अंतर्गत रखा गया है। वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 100052 प्लगइन से कर सकता है (Cumulative Security Update for Internet Explorer (MS07-057)).

यह अनुशंसा की जाती है कि प्रभावित घटक को अपग्रेड किया जाए।

Snort ID 16064 द्वारा हमले के प्रयास पहचाने जा सकते हैं। इसके अलावा, इस प्रकार के हमले का पता लगाना और इसे रोकना TippingPoint और फ़िल्टर 9017 के साथ संभव है। कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 24911), X-Force (35421), Secunia (SA26069), SecurityTracker (ID 1018788) , Vulnerability Center (SBV-15655).

उत्पादजानकारी

प्रकार

विक्रेता

नाम

संस्करण

लाइसेंस

समर्थन

वेबसाइट

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 6.3
VulDB मेटा अस्थायी स्कोर: 5.7

VulDB मूल स्कोर: 6.3
VulDB अस्थायी स्कोर: 5.7
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

वर्ग: कमजोर प्रमाणीकरण
CWE: CWE-290 / CWE-287
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
स्थिति: अवधारणा प्रमाण

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 26963
Nessus नाम: MS07-057: Cumulative Security Update for Internet Explorer (939653)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍

OpenVAS ID: 102060
OpenVAS नाम: Cumulative Security Update for Internet Explorer (939653)
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍

Qualys ID: 🔍
Qualys नाम: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: अपग्रेड
स्थिति: 🔍

0-दिवसीय समय: 🔍
Snort ID: 16064
TippingPoint: 🔍

McAfee IPS: 🔍
McAfee IPS संस्करण: 🔍

ISS Proventia IPS: 🔍
PaloAlto IPS: 🔍
Fortigate IPS: 🔍

समयरेखाजानकारी

27/07/2005 🔍
13/07/2007 +716 दिन 🔍
14/07/2007 +1 दिन 🔍
16/07/2007 +2 दिन 🔍
16/07/2007 +0 दिन 🔍
17/07/2007 +0 दिन 🔍
17/07/2007 +0 दिन 🔍
17/07/2007 +0 दिन 🔍
22/07/2007 +5 दिन 🔍
09/10/2007 +79 दिन 🔍
15/03/2015 +2714 दिन 🔍
21/07/2021 +2320 दिन 🔍

स्रोतजानकारी

विक्रेता: microsoft.com

सलाह: us-cert.gov
शोधकर्ता: Michal Zalewski
स्थिति: पुष्टि की गई

CVE: CVE-2007-3826 (🔍)
GCVE (CVE): GCVE-0-2007-3826
GCVE (VulDB): GCVE-100-37860

OVAL: 🔍

X-Force: 35421
SecurityFocus: 24911 - Microsoft Internet Explorer OnBeforeUnload Javascript Browser Entrapment Vulnerability
Secunia: 26069 - Internet Explorer "document.open()" Method Spoofing Vulnerability, Less Critical
OSVDB: 38212 - Microsoft IE document.open() Function Address Bar Spoofing
SecurityTracker: 1018788 - Microsoft Internet Explorer Bugs Let Remote Users Spoof the Address Bar and Execute Arbitrary Code
Vulnerability Center: 15655 - [MS07-057] Microsoft Internet Explorer 7 Allows Remote Spoofing and Phishing Attacks, Critical
Vupen: ADV-2007-2540

यह भी देखें: 🔍

प्रविष्टिजानकारी

बनाया गया: 15/03/2015 03:58 PM
अद्यतनित: 21/07/2021 08:54 AM
परिवर्तन: 15/03/2015 03:58 PM (77), 07/05/2019 12:42 PM (21), 21/07/2021 08:54 AM (3)
पूर्ण: 🔍
Cache ID: 216::103

Once again VulDB remains the best source for vulnerability data.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Want to stay up to date on a daily basis?

Enable the mail alert feature now!