| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 5.5 | $5k-$25k | 0.00 |
要約
このたび、Microsoft Edgeにおいて、重大に分類される脆弱性が見つかりました。 この脆弱性により影響を受けるのは、コンポーネント【Javascript Engine】の未知の機能です。 操作 Objectの一部としての結果として メモリ破損につながります。 この脆弱性はCVE-2017-8598という名称で流通しています。 攻撃はリモートで開始される可能性があります。 この脆弱性を修正するためにパッチを適用してください。
詳細
このたび、Microsoft Edgeにおいて、重大に分類される脆弱性が見つかりました。 この脆弱性により影響を受けるのは、コンポーネント【Javascript Engine】の未知の機能です。 操作 Objectの一部としての結果として メモリ破損につながります。 CWEを用いて問題を定義すると、CWE-119 となります。 バグは2017年07月11日に発見されました。 この弱点は 2017年07月11日に発表されました 、Christian Hollerによって 、Google Project Zeroと共に 、KB4025339として 、Security Update Guideとして (ウェブサイト)。 アドバイザリーは portal.msrc.microsoft.com にてダウンロード用に公開されています。
この脆弱性はCVE-2017-8598という名称で流通しています。 CVEが2017年05月03日に割り当てられました。 攻撃はリモートで開始される可能性があります。 テクニカルな情報はありません。 この脆弱性の人気度は平均より低いです。 現時点で、エクスプロイトツールの価格はおそらく米ドルで約$5k-$25kです。 勧告では次の点が指摘されています:
A remote code execution vulnerability exists in the way Microsoft Edge handles objects in memory. The vulnerability could corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user. An attacker who successfully exploited the vulnerability could gain the same user rights as the current user. If the current user is logged on with administrative user rights, an attacker who successfully exploited the vulnerability could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.
未定義 に指定されています。 0-dayの場合、推定されるアンダーグラウンドでの価格は約$25k-$100kでした。 脆弱性スキャナーNessusは、IDが101366のプラグインを提供します。 Windows : Microsoft Bulletins ファミリーに割り当てられています。 このプラグインはlの種類のコンテキストで稼働しています。 商用脆弱性スキャナーQualysではプラグイン【 91394 (Microsoft Edge Security Update for July 2017) 】を使用してこの問題をテストできます。
このパッチの名称はKB4025339です。 修正パッチはcatalog.update.microsoft.comからダウンロード可能です。 この脆弱性を修正するためにパッチを適用してください。 脆弱性の公開後、すぐに 経過してから対策が公開されました。
他の脆弱性データベースにも記載されている脆弱性です: SecurityFocus (BID 99417) , Tenable (101366).
製品
タイプ
ベンダー
名前
ライセンス
ウェブサイト
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 5.6VulDB 一時的なメタスコア: 5.5
VulDB ベーススコア: 6.3
VulDB 一時的なスコア: 6.0
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
ベンダー ベーススコア (Microsoft): 3.1
ベンダー Vector (Microsoft): 🔍
NVD ベーススコア: 7.5
NVD ベクトル: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: メモリ破損CWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未定義
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
Nessus ID: 101366
Nessus 名前: KB4025339: Windows 10 Version 1607 and Windows Server 2016 July 2017 Cumulative Update
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
Nessus Context: 🔍
OpenVAS ID: 802136
OpenVAS 名前: Microsoft Windows Multiple Vulnerabilites (KB4025344)
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍
Qualys ID: 🔍
Qualys 名前: 🔍
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: パッチステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
暴露時間: 🔍
パッチ: KB4025339
タイムライン
2017年05月03日 🔍2017年07月11日 🔍
2017年07月11日 🔍
2017年07月11日 🔍
2017年07月11日 🔍
2017年07月11日 🔍
2017年07月11日 🔍
2017年07月12日 🔍
2022年12月12日 🔍
ソース
ベンダー: microsoft.com勧告: KB4025339
調査者: Christian Holler
組織: Google Project Zero
ステータス: 確認済み
確認: 🔍
CVE: CVE-2017-8598 (🔍)
GCVE (CVE): GCVE-0-2017-8598
GCVE (VulDB): GCVE-100-103452
OVAL: 🔍
SecurityFocus: 99417 - Microsoft Edge CVE-2017-8598 Scripting Engine Remote Memory Corruption Vulnerability
SecurityTracker: 1038849
関連情報: 🔍
エントリ
作成済み: 2017年07月12日 10:46更新済み: 2022年12月12日 10:02
変更: 2017年07月12日 10:46 (90), 2019年10月25日 07:12 (6), 2022年12月12日 10:02 (4)
完了: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。