Vulnerabilità ID 4142

Skype Client 2.8 su Mac Chat Unicode Handler Eingabeungültigkeit

CVSSv3 Temp ScoreExploit Prezzo Attuale (≈)
4.2$2k-$5k

In Skype Client 2.8 su Mac stata rilevata una vulnerabilità di livello problematico. Da questa vulnerabilità è interessato una funzione sconosciuta del componente Chat Unicode Handler. Mediante la manipolazione di un input sconosciuto conseguenza di una vulerabilità di classe eingabeungültigkeit. Effetti sono da osservare per riservatezza e integrità.

Data di scoperta del problema 09/05/2010. La vulnerabilità è stata pubblicata in data 21/06/2010 da Marc Ruef da scip AG (non definito). L'advisory è scaricabile da scip.ch. La vulnerabilità è relativamente apprezzata, a causa della bassa complessità. L'attacco si effettua con la rete. Non sono conosciuti dettagli tecnici ma un pubblico metodo di utilizzo è disponibile.

già prima e non dopo, è stato diffuso un exploit. L'exploit è scaricabile da developer.skype.com. Questa vulnerabilità è stata classificata come un 0-day exploit almeno per 43 giorni.

Applicando a patch è possibile eliminare il problema. Il bugfix è scaricabile da skype.com. Il problema può essere attenuato rimpiazzando il componente con come alternativa. Il miglior modo suggerito per attenuare il problema è utilizzare un prodotto alternativo.

CVSSv3

Base Score: 4.2 [?]
Temp Score: 4.2 [?]
Vector: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N/E:X/RL:U/RC:X [?]
Affidabilità: Media

CVSSv2

Base Score: 3.6 (CVSS2#AV:N/AC:H/Au:S/C:P/I:P/A:N) [?]
Temp Score: 3.6 (CVSS2#E:ND/RL:U/RC:ND) [?]
Affidabilità: Media

AVACAuCIA
LHMNNN
AMSPPP
NLNCCC
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
LocalHighMultipleNoneNoneNone
AdjacentMediumSinglePartialPartialPartial
NetworkLowNoneCompleteCompleteComplete

CPE

Exploiting

Classe: Eingabeungültigkeit
Locale: No
Remoto: Si

Disponibilità: Si
Accesso: Pubblico
Download: developer.skype.com

Preventivo attuale: $10k-$25k (0-day) / $2k-$5k (Oggi)

0-Day$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k
Oggi$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k

Contromisure

Raccomandazione: Alternative
Status: Non disponibile
0-Day Time: 43 giorni dalla scoperta

Patch: skype.com

Timeline

09/05/2010 Rilevata vulnerabilità
10/05/2010 +1 giorni Pubblicazione exploit
21/06/2010 +42 giorni Pubblicazione advisory
21/06/2010 +0 giorni VulDB voce creata
02/07/2010 +11 giorni OSVDB voce creata
03/12/2015 +1980 giorni VulDB voce aggiornata

Fonti

Advisory: scip.ch
Riceratore: Marc Ruef
Organization: scip AG
OSVDB: 65974 - Skype for Mac OS X Chat Unicode Handling Remote DoS

Varie: securityfocus.com

Voce

Data di creazione: 21/06/2010
Aggiornamenti: 03/12/2015
Voce: 81.8% completa