Google Android prima 7.0 GPS GpsXtraDownloader.java Hang denial of service
| CVSS Punteggio Meta Temp | Exploit Prezzo Attuale (≈) | Punteggio di interesse CTI |
|---|---|---|
| 5.6 | $0-$5k | 0.00 |
In Google Android (Smartphone Operating System) è stato trovato un punto critico di livello problematico. Da questa vulnerabilità è interessato una funzione sconosciuta del file GpsXtraDownloader.java del componente GPS. Attraverso la manipolazione di un input sconosciuto se causa una vulnerabilità di classe denial of service. Questo agisce su la disponibilità.
La vulnerabilità è stata pubblicata in data 03/10/2016 con identificazione Android Security Bulletin - October 2016 con un security bulletin (Website) (confermato). L'advisory è scaricabile da source.android.com. Questa vulnerabilità è identificata come CVE-2016-5348. Dalla rete può partire l'attacco. L'utilizzo non richiede alcuna forma di autentificazione. I dettagli tecnici e un pubblico metodo di utilizzo sono conosciuti. La ragione di questa vulnerabilità è questa parte di codice:
connection.connect()
int statusCode = connection.getResponseCode();
if (statusCode != HttpURLConnection.HTTP_OK) {
if (DEBUG) Log.d(TAG, “HTTP error downloading gps XTRA: “ + statusCode);
return null;
}
return Streams.readFully(connection.getInputStream());L'exploit è scaricabile da exploit-db.com. È stato dichiarato come proof-of-concept. Questa vulnerabilità è stata classificata come un 0-day exploit almeno per 105 giorni.
L'aggiornamento alla versione 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 o 7.0 elimina questa vulnerabilità. Una possibile soluzione è stata pubblicata immediatamente dopo la pubblicazione della vulnerabilità.
La vulnerabilità è documentata anche nei database Exploit-DB (40502).
Prodotto
Genere
Fornitore
Nome
Licenza
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 5.9VulDB Punteggio Meta Temp: 5.6
VulDB Punteggio di base: 5.9
VulDB Punteggio temporaneo: 5.3
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 5.9
NVD Vettore: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
|---|---|---|---|---|---|
| sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
| sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
| sbloccare | sbloccare | sbloccare | sbloccare | sbloccare | sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 🔍
Exploiting
Nome: HangClasse: Denial of service / Hang
CWE: CWE-399 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Locale: No
Remoto: Si
Disponibilità: 🔍
Accesso: Pubblico
Stato: Proof-of-Concept
Scaricamento: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
| 0-Day | sbloccare | sbloccare | sbloccare | sbloccare |
|---|---|---|---|---|
| Oggi | sbloccare | sbloccare | sbloccare | sbloccare |
Exploit-DB: 🔍
Intelligence Sulle Minacce
Interesse: 🔍Attori Attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: UpgradeStato: 🔍
Tempo di reazione: 🔍
0 giorni di tempo: 🔍
Tempo di esposizione: 🔍
Upgrade: Android 4.4.4/5.0.2/5.1.1/6.0/6.0.1/7.0
Sequenza temporale
09/06/2016 🔍20/06/2016 🔍
03/10/2016 🔍
03/10/2016 🔍
03/10/2016 🔍
05/10/2016 🔍
10/10/2016 🔍
22/09/2022 🔍
Fonti
Fornitore: google.comAdvisory: Android Security Bulletin - October 2016
Stato: Confermato
Confermato: 🔍
CVE: CVE-2016-5348 (🔍)
SecurityFocus: 93293 - Google Android GPS CVE-2016-5348 Denial of Service Vulnerability
scip Labs: https://www.scip.ch/en/?labs.20150917
Varie: 🔍
Vedi anche: 🔍
Voce
Data di creazione: 05/10/2016 10:44Aggiornamenti: 22/09/2022 09:05
I cambiamenti: 05/10/2016 10:44 (65), 07/05/2019 10:10 (14), 22/09/2022 09:05 (3)
Completa: 🔍
Ancora nessun commento. Le Lingue: it + en.
Effettua il login per commentare.