Microsoft PowerPoint 2016 Java Embedded Object escalationi di privilegi ⚔ [Contestato]
| CVSS Punteggio meta temporaneo | Prezzo attuale dell'exploit (≈) | Punteggio di interesse CTI |
|---|---|---|
| 5.5 | $0-$5k | 0.00 |
Riassunto
È stata scoperta una vulnerabilità classificata come critico in Microsoft PowerPoint 2016. Si considera coinvolta una funzione sconosciuta nel componente Java Embedded Object Handler. L’alterazione causa escalationi di privilegi. Dalla rete può partire l'attacco. Inoltre, è presente un exploit disponibile. Attualmente, la presenza effettiva di questa vulnerabilità è ancora contestata. È raccomandato aggiornare il componente coinvolto.
Dettagli
Una vulnerabilità di livello critico è stata rilevata in Microsoft PowerPoint 2016 (Presentation Software). Interessato da questa vulnerabilità è una funzione sconosciuta del componente Java Embedded Object Handler. Attraverso la manipolazione di un input sconosciuto se causa una vulnerabilità di classe escalationi di privilegi. Questo ha effetti su riservatezza, integrità e disponibilità.
La vulnerabilità è stata pubblicata in data 21/01/2017 da Fady Mohammed Osman con identificazione EDB-ID 41144 con un sfruttamento (Exploit-DB) (non definito). L'advisory è scaricabile da exploit-db.com. La pubblicazione è avvenuta in collaborazione con la ditta produttrice. L'attacco può essere lanciato da remoto. L'utilizzo non richiede alcuna forma di autentificazione. Non sono conosciuti dettagli tecnici ma un pubblico metodo di utilizzo è disponibile.
Un metodo di utilizzo è stato sviluppato da Fady Mohammed Osman ed è stata pubblicata immediatamente dopo il comunicato. L'exploit è scaricabile da exploit-db.com. È stato dichiarato come prova di concetto. Per almeno 164 giorni, questa vulnerabilità è stata classificata come 0-day exploit. La reale esistenza di questa vulnerabilità al momento è dubbia.
L'aggiornamento elimina questa vulnerabilità.
La vulnerabilità è documentata anche nei database Exploit-DB (41144). If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Prodotto
Genere
Fornitore
Nome
Versione
Licenza
Sito web
- Fornitore: https://www.microsoft.com/
CPE 2.3
CPE 2.2
Video
Youtube: Non più disponibileCVSSv4
VulDB Vettore: 🔍VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 6.3VulDB Punteggio meta temporaneo: 5.5
VulDB Punteggio di base: 6.3
VulDB Punteggio temporaneo: 5.5
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
|---|---|---|---|---|---|
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
Sfruttamento
Classe: Escalationi di privilegiCWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Fisico: No
Locale: No
Remoto: Si
Disponibilità: 🔍
Accesso: Pubblico
Stato: Prova di concetto
Autore: Fady Mohammed Osman
Scaricare: 🔍
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
| 0-Day | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
|---|---|---|---|---|
| Oggi | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
Exploit-DB: 🔍
Intelligence sulle minacce
Interesse: 🔍Attori attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: AggiornamentoStato: 🔍
Tempo 0 giorni: 🔍
Tempo di ritardo sfruttamento: 🔍
Sequenza temporale
10/08/2016 🔍07/09/2016 🔍
21/01/2017 🔍
21/01/2017 🔍
21/01/2017 🔍
22/01/2017 🔍
29/07/2020 🔍
Fonti
Fornitore: microsoft.comAvis: EDB-ID 41144
Ricercatore: Fady Mohammed Osman
Stato: Non definito
Coordinato: 🔍
Contestato: 🔍
GCVE (VulDB): GCVE-100-95781
scip Labs: https://www.scip.ch/en/?labs.20161013
Varie: 🔍
Voce
Data di creazione: 22/01/2017 21:39Aggiornato: 29/07/2020 18:06
Cambiamenti: 22/01/2017 21:39 (53), 29/07/2020 18:06 (3)
Completa: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Ancora nessun commento. Lingue: it + ro + en.
Effettua il login per commentare.