Google Chrome 15.0.874.121/16.0.912.63/26.0.1410.27 Frame Plugin for Microsoft IE protocol_sink_wrap.cc Hook_Terminate crafted _blank buffer overflow

CVSS Punteggio meta temporaneoPrezzo attuale dell'exploit (≈)Punteggio di interesse CTI
6.7$0-$5k0.00

Riassuntoinformazioni

È stata scoperta una vulnerabilità classificata come problematico in Google Chrome 15.0.874.121/16.0.912.63/26.0.1410.27. Si considera coinvolta una funzione sconosciuta nel file chrome_frame/protocol_sink_wrap.cc nel componente Frame Plugin for Microsoft IE. L’alterazione dell’argomento crafted _blank causa buffer overflow. Questa vulnerabilità è registrata come CVE-2013-2493. Inoltre, è presente un exploit disponibile. È raccomandato aggiornare il componente coinvolto.

Dettagliinformazioni

Una vulnerabilità di livello critico è stata rilevata in Google Chrome 15.0.874.121/16.0.912.63/26.0.1410.27 (Web Browser). Interessato da questa vulnerabilità è la funzione Hook_Terminate del file chrome_frame/protocol_sink_wrap.cc del componente Frame Plugin for Microsoft IE. Attraverso la manipolazione del parametro crafted _blank di un input sconosciuto se causa una vulnerabilità di classe buffer overflow. Questo ha effetti su la disponibilità.

La vulnerabilità è stata pubblicata in data 26/02/2013 da Google con identificazione 2013/03 con un changelog entry (Website) (non definito). L'advisory è scaricabile da googlechromereleases.blogspot.ch. Questa vulnerabilità è identificata come CVE-2013-2493. L'attacco può avvenire nella rete. L'utilizzo non richiede alcuna forma di autentificazione. I dettagli tecnici e un pubblico metodo di utilizzo sono conosciuti.

immediatamente dopo, è stato diffuso un exploit. L'exploit è scaricabile da code.google.com. È stato dichiarato come prova di concetto. È disponibile un plugin per lo scanner Nessus, numero ID 65723 (Google Chrome Frame < 26.0.1410.28 Denial of Service), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.

L'aggiornamento alla versione 26.0.1410.28 elimina questa vulnerabilità. L'aggiornamento è scaricabile da chrome.google.com. Applicando a patch è possibile eliminare il problema. Il bugfix è scaricabile da src.chromium.org. Il miglior modo suggerito per attenuare il problema è Aggiornamento. Una possibile soluzione è stata pubblicata 2 settimane dopo la pubblicazione della vulnerabilità.

La vulnerabilità è documentata anche nel database X-Force (82770), Tenable (65723), SecurityFocus (BID 58562†), OSVDB (91114†) e Vulnerability Center (SBV-38984†). If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Prodottoinformazioni

Genere

Fornitore

Nome

Versione

Licenza

Sito web

CPE 2.3informazioni

CPE 2.2informazioni

CVSSv4informazioni

VulDB Vettore: 🔍
VulDB Affidabilità: 🔍

CVSSv3informazioni

VulDB Punteggio meta-base: 7.5
VulDB Punteggio meta temporaneo: 6.7

VulDB Punteggio di base: 7.5
VulDB Punteggio temporaneo: 6.7
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍

CVSSv2informazioni

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VettoreComplessitàAutenticazioneRiservatezzaIntegritàDisponibilità
SbloccareSbloccareSbloccareSbloccareSbloccareSbloccare
SbloccareSbloccareSbloccareSbloccareSbloccareSbloccare
SbloccareSbloccareSbloccareSbloccareSbloccareSbloccare

VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍

NVD Punteggio di base: 🔍

Sfruttamentoinformazioni

Classe: Buffer overflow
CWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍

Fisico: No
Locale: No
Remoto: Si

Disponibilità: 🔍
Accesso: Pubblico
Stato: Prova di concetto
Scaricare: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Previsione dei prezzi: 🔍
Preventivo attuale: 🔍

0-DaySbloccareSbloccareSbloccareSbloccare
OggiSbloccareSbloccareSbloccareSbloccare

Nessus ID: 65723
Nessus Nome: Google Chrome Frame < 26.0.1410.28 Denial of Service
Nessus File: 🔍
Nessus Rischio: 🔍
Nessus Famiglia: 🔍

OpenVAS ID: 803461
OpenVAS Nome: registry_get_sz(item:DisplayName, key: key
OpenVAS File: 🔍
OpenVAS Famiglia: 🔍

Intelligence sulle minacceinformazioni

Interesse: 🔍
Attori attivi: 🔍
Gruppi APT attivi: 🔍

Contromisureinformazioni

Raccomandazione: Aggiornamento
Stato: 🔍

Tempo di reazione: 🔍
Tempo 0 giorni: 🔍
Tempo di esposizione: 🔍
Tempo di ritardo sfruttamento: 🔍

Aggiornamento: Chrome 26.0.1410.28
Patch: src.chromium.org

Sequenza temporaleinformazioni

26/02/2013 🔍
26/02/2013 +0 giorni 🔍
06/03/2013 +8 giorni 🔍
06/03/2013 +0 giorni 🔍
07/03/2013 +1 giorni 🔍
07/03/2013 +0 giorni 🔍
11/03/2013 +4 giorni 🔍
28/03/2013 +17 giorni 🔍
02/04/2013 +5 giorni 🔍
06/05/2021 +2956 giorni 🔍

Fontiinformazioni

Fornitore: google.com
Prodotto: google.com

Avis: 2013/03
Organizzazione: Google
Stato: Non definito
Conferma: 🔍

CVE: CVE-2013-2493 (🔍)
GCVE (CVE): GCVE-0-2013-2493
GCVE (VulDB): GCVE-100-7941
X-Force: 82770
SecurityFocus: 58562
OSVDB: 91114
Vulnerability Center: 38984 - Google Chrome Frame Plugin <26.0.1410.28 User Assisted Remote DoS, Medium

scip Labs: https://www.scip.ch/en/?labs.20161013
Vedi anche: 🔍

Voceinformazioni

Data di creazione: 11/03/2013 14:21
Aggiornato: 06/05/2021 08:21
Cambiamenti: 11/03/2013 14:21 (60), 26/04/2017 18:10 (26), 06/05/2021 08:21 (3)
Completa: 🔍
Committer:
Cache ID: 216::103

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Discussione

Ancora nessun commento. Lingue: it + ro + en.

Effettua il login per commentare.

Want to stay up to date on a daily basis?

Enable the mail alert feature now!