Google Chrome fino a 60 LOAD HTML Page escalationi di privilegi
| CVSS Punteggio meta temporaneo | Prezzo attuale dell'exploit (≈) | Punteggio di interesse CTI |
|---|---|---|
| 5.2 | $5k-$25k | 0.00 |
Riassunto
È stata individuata una vulnerabilità classificata come critico in Google Chrome fino a 60. Da questa vulnerabilità è interessato una funzione sconosciuta del componente LOAD Handler. La manipolazione come parte di HTML Page se causa una vulnerabilità di classe escalationi di privilegi. Questo punto di criticità è identificato come CVE-2017-5109. Dalla rete può partire l'attacco. Nessun exploit disponibile. Si suggerisce di aggiornare il componente vulnerabile.
Dettagli
È stata rilevata una vulnerabilità di livello critico in Google Chrome fino a 60 (Web Browser). É interessato una funzione sconosciuta del componente LOAD Handler. Per causa della manipolazione come parte di HTML Page per mezzo di una vulerabilità di classe escalationi di privilegi. Questo si osserva su riservatezza, integrità e disponibilità.
Data di scoperta del problema 25/07/2017. La vulnerabilità è stata pubblicata in data 27/10/2017 da Takeshi Terada da Ant-financial Light-Year Security Lab (Website) (non definito). L'advisory è scaricabile da security.gentoo.org. Questo punto di criticità è identificato come CVE-2017-5109. L'attacco può essere lanciato da remoto. Per l'uso non è richiesta un'autentificazione. Dettagli tecnici sul punto critico come anche metodo d'utilizzo non sono a disposizione.
Per almeno 10 giorni, questa vulnerabilità è stata classificata come 0-day exploit. Per lo scanned Nessus, è disponibile un plugin, numero ID 102210 (Debian DSA-3926-1 : chromium-browser - security update), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.
L'aggiornamento alla versione 60.0.3112.78 elimina questa vulnerabilità. Una possibile soluzione è stata pubblicata già prima e non dopo la pubblicazione della vulnerabilità.
La vulnerabilità è documentata anche nel database Tenable (102210) e SecurityFocus (BID 99950†). Be aware that VulDB is the high quality source for vulnerability data.
Prodotto
Genere
Fornitore
Nome
Versione
Licenza
Sito web
- Fornitore: https://www.google.com/
- Prodotto: https://www.google.com/chrome/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vettore: 🔍VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 5.3VulDB Punteggio meta temporaneo: 5.2
VulDB Punteggio di base: 6.3
VulDB Punteggio temporaneo: 6.0
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 4.3
NVD Vettore: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
|---|---|---|---|---|---|
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 🔍
Sfruttamento
Classe: Escalationi di privilegiCWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Fisico: No
Locale: No
Remoto: Si
Disponibilità: 🔍
Stato: Non definito
EPSS Score: 🔍
EPSS Percentile: 🔍
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
| 0-Day | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
|---|---|---|---|---|
| Oggi | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
Nessus ID: 102210
Nessus Nome: Debian DSA-3926-1 : chromium-browser - security update
Nessus File: 🔍
Nessus Rischio: 🔍
Nessus Famiglia: 🔍
Nessus Context: 🔍
OpenVAS ID: 703926
OpenVAS Nome: Debian Security Advisory DSA 3926-1 (chromium-browser - security update)
OpenVAS File: 🔍
OpenVAS Famiglia: 🔍
Qualys ID: 🔍
Qualys Nome: 🔍
Intelligence sulle minacce
Interesse: 🔍Attori attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: AggiornamentoStato: 🔍
Tempo 0 giorni: 🔍
Aggiornamento: Chrome 60.0.3112.78
Sequenza temporale
02/01/2017 🔍25/07/2017 🔍
25/07/2017 🔍
04/08/2017 🔍
07/08/2017 🔍
27/10/2017 🔍
27/10/2017 🔍
27/10/2017 🔍
27/08/2024 🔍
Fonti
Fornitore: google.comProdotto: google.com
Avis: RHSA-2017:1833
Ricercatore: Takeshi Terada
Organizzazione: Ant-financial Light-Year Security Lab
Stato: Non definito
CVE: CVE-2017-5109 (🔍)
GCVE (CVE): GCVE-0-2017-5109
GCVE (VulDB): GCVE-100-108703
OVAL: 🔍
SecurityFocus: 99950 - Google Chrome Prior to 60.0.3112.78 Multiple Security Vulnerabilities
Vedi anche: 🔍
Voce
Data di creazione: 27/10/2017 20:04Aggiornato: 27/08/2024 21:48
Cambiamenti: 27/10/2017 20:04 (80), 01/12/2019 11:47 (3), 05/01/2023 08:39 (4), 27/08/2024 21:48 (16)
Completa: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
Ancora nessun commento. Lingue: it + ro + en.
Effettua il login per commentare.