| CVSS मेटा अस्थायी स्कोर | वर्तमान एक्सप्लॉइट मूल्य (≈) | CTI रुचि स्कोर |
|---|---|---|
| 5.6 | $25k-$100k | 0.00 |
सारांश
एक जोखिम जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Microsoft Internet Explorer में पाया गया है। प्रभावित है एक अज्ञात फ़ंक्शन CSS घटक का हिस्सा है। हेरफेर तर्क display:run-in का के कारण बफ़र ओवरफ़्लो होती है। यह भेद्यता CVE-2014-8967 के रूप में व्यापार की जाती है। दूरस्थ स्थान से हमला शुरू करना संभव है। कोई एक्सप्लॉइट उपलब्ध नहीं है।
विवरण
एक जोखिम जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Microsoft Internet Explorer में पाया गया है। प्रभावित है एक अज्ञात फ़ंक्शन CSS घटक का हिस्सा है। हेरफेर तर्क display:run-in का के कारण बफ़र ओवरफ़्लो होती है। CWE का सहारा लेकर समस्या घोषित करने से CWE-416 मिलता है। कमजोरी प्रकाशित की गई थी 04/12/2014 Arthur Gerkis द्वारा ZDI-14-403 के रूप में सलाह के रूप में (ZDI). एडवाइजरी डाउनलोड के लिए zerodayinitiative.com पर साझा की गई है।
यह भेद्यता CVE-2014-8967 के रूप में व्यापार की जाती है। CVE असाइनमेंट 18/11/2014 को हुआ। दूरस्थ स्थान से हमला शुरू करना संभव है। तकनीकी विवरण उपलब्ध हैं. इस भेद्यता की लोकप्रियता औसत से कम है। कोई एक्सप्लॉइट उपलब्ध नहीं है। वर्तमान में किसी एक्सप्लॉइट की कीमत लगभग USD $25k-$100k हो सकती है। एडवाइजरी में उल्लेख किया गया है:
The vulnerability relates to how Internet Explorer uses reference counting to manage the lifetimes of the in-memory objects representing HTML elements (CElement objects). By applying a CSS style of display:run-in to a page and performing particular manipulations, an attacker can cause an object's reference count to fall to zero prematurely, causing the object to be freed. Internet Explorer will then continue using this object after it has been freed. An attacker can leverage this vulnerability to execute code under the context of the current process.
यदि 273 से अधिक दिनों तक इस भेद्यता को गैर-सार्वजनिक ज़ीरो-डे एक्सप्लॉइट के रूप में संभाला गया था। 0-day के तौर पर अनुमानित भूमिगत दाम लगभग $25k-$100k था। वल्नरेबिलिटी स्कैनर Nessus 81262 आईडी वाला एक प्लगइन प्रदान करता है। यह Windows : Microsoft Bulletins फैमिली में असाइन किया गया है। वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 100220 प्लगइन से कर सकता है (Microsoft Internet Explorer Cumulative Security Update (MS15-009)).
इसके अतिरिक्त, TippingPoint और फ़िल्टर 16284 के माध्यम से इस प्रकार के हमले का पता लगाना और उसे रोकना संभव है। यह कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी दर्ज है: SecurityFocus (BID 71483), X-Force (99169), Vulnerability Center (SBV-47631) , Tenable (81262).
उत्पाद
प्रकार
विक्रेता
नाम
लाइसेंस
समर्थन
वेबसाइट
- विक्रेता: https://www.microsoft.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB वेक्टर: 🔍VulDB विश्वसनीयता: 🔍
CVSSv3
VulDB मेटा बेस स्कोर: 6.3VulDB मेटा अस्थायी स्कोर: 5.6
VulDB मूल स्कोर: 6.3
VulDB अस्थायी स्कोर: 5.6
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | जटिलता | प्रमाणीकरण | गोपनीयता | अखंडता | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 🔍
शोषण
वर्ग: बफ़र ओवरफ़्लोCWE: CWE-416 / CWE-119
CAPEC: 🔍
ATT&CK: 🔍
भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ
उपलब्धता: 🔍
स्थिति: असिद्ध
EPSS Score: 🔍
EPSS Percentile: 🔍
मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍
| 0-Day | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
|---|---|---|---|---|
| आज | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
Nessus ID: 81262
Nessus नाम: MS15-009: Security Update for Internet Explorer (3034682)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Qualys ID: 🔍
Qualys नाम: 🔍
खतरे की खुफिया
रुचि: 🔍सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍
प्रतिव्यवस्था
सिफारिश: कोई शमन ज्ञात नहींस्थिति: 🔍
0-दिवसीय समय: 🔍
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS संस्करण: 🔍
ISS Proventia IPS: 🔍
Fortigate IPS: 🔍
समयरेखा
06/03/2014 🔍18/11/2014 🔍
04/12/2014 🔍
04/12/2014 🔍
04/12/2014 🔍
08/12/2014 🔍
15/12/2014 🔍
16/12/2014 🔍
05/06/2015 🔍
27/02/2022 🔍
स्रोत
विक्रेता: microsoft.comसलाह: ZDI-14-403
शोधकर्ता: Arthur Gerkis
स्थिति: परिभाषित नहीं
CVE: CVE-2014-8967 (🔍)
GCVE (CVE): GCVE-0-2014-8967
GCVE (VulDB): GCVE-100-68354
OVAL: 🔍
X-Force: 99169 - Microsoft Internet Explorer run-in code execution, High Risk
SecurityFocus: 71483 - Microsoft Internet Explorer CVE-2014-8967 Use After Free Remote Code Execution Vulnerability
Vulnerability Center: 47631 - [MS15-009] Microsoft Internet Explorer Use After Free Remote Code Execution Vulnerability - CVE-2014-8967, Critical
यह भी देखें: 🔍
प्रविष्टि
बनाया गया: 08/12/2014 10:44 AMअद्यतनित: 27/02/2022 04:35 PM
परिवर्तन: 08/12/2014 10:44 AM (71), 07/04/2017 12:12 PM (10), 27/02/2022 04:27 PM (2), 27/02/2022 04:35 PM (1)
पूर्ण: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.
टिप्पणी करने के लिए कृपया लॉगिन करें