Microsoft Internet Explorer/Edge Javascript Engine Object メモリ破損

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
5.9	$5k-$25k	0.00

要約情報

脆弱性が Microsoft Internet Explorer and Edge 内に見つかりました。この脆弱性は重大として分類されました。この問題により影響を受けるのは、コンポーネント【Javascript Engine】の未知の機能です。未知の値でObjectの一部として攻撃することが、メモリ破損を突く攻撃に繋がります}。この脆弱性は CVE-2017-8606 として知られています。攻撃はリモートで開始される可能性があります。この問題を修正するために、パッチの適用を推奨します。

詳細情報

脆弱性が Microsoft Internet Explorer and Edge 内に見つかりました。この脆弱性は重大として分類されました。この問題により影響を受けるのは、コンポーネント【Javascript Engine】の未知の機能です。未知の値でObjectの一部として攻撃することが、メモリ破損を突く攻撃に繋がります}。問題をCWEで宣言すると、CWE-119 になります。このバグは 2017年07月11日に発見されました。この脆弱性は公開されました 2017年07月11日（Microsoftと共に）としてKB4025338 としてSecurity Update Guide （ウェブサイト）。アドバイザリーは portal.msrc.microsoft.com にてダウンロード用に公開されています。

この脆弱性は CVE-2017-8606 として知られています。 CVEの割り当ては 2017年05月03日に行われました。攻撃はリモートで開始される可能性があります。入手できる技術的詳細情報はありません。この脆弱性の一般的な利用度は平均を下回っています。現時点で、脆弱性の構成から考えられる取引価格帯を約$5k-$25k米ドルと算出しました。アドバイザリーは次を指摘しています。

A remote code execution vulnerability exists in the way JavaScript engines render when handling objects in memory in Microsoft browsers. The vulnerability could corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user. An attacker who successfully exploited the vulnerability could gain the same user rights as the current user. If the current user is logged on with administrative user rights, an attacker who successfully exploited the vulnerability could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

未定義であると宣言されています。 0dayとして、推定される闇市場取引価格はおよそ $25k-$100k でした。脆弱性スキャナーNessusはID【101365 (Windows 8.1 and Windows Server 2012 R2 July 2017 Security Updates)】のプラグインを提供しています。ターゲット環境における不具合の有無を判定するのに役立ちます。この項目は Windows : Microsoft Bulletins ファミリーに割り当てられています。プラグインはタイプ【 l 】のコンテキストで実行されています。商用脆弱性スキャナーQualysではプラグイン【 100315 (Microsoft Internet Explorer Security Update for July 2017) 】を使用してこの問題をテストできます。

KB4025338というパッチ名です。バグフィックスは、catalog.update.microsoft.com からダウンロードすることが可能です。この問題を修正するために、パッチの適用を推奨します。考えられる回避策が、すぐにとして脆弱性の公開後公表されました。

この脆弱性は他の脆弱性データベースにも文書化されています: SecurityFocus (BID 99408) , Tenable (101365).

製品情報

タイプ

Web Browser

ベンダー

Microsoft

名前

ライセンス

営利

サポート

end of life

ウェブサイト

ベンダー: https://www.microsoft.com/

CPE 2.3情報

CPE 2.2情報

CVSSv4情報

VulDB ベクトル: 🔍
VulDB 信頼性: 🔍

CVSSv3情報

VulDB ベースメタスコア: 6.0
VulDB 一時的なメタスコア: 5.9

VulDB ベーススコア: 6.3
VulDB 一時的なスコア: 6.0
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍

ベンダーベーススコア (Microsoft): 4.2
ベンダー Vector (Microsoft): 🔍

NVD ベーススコア: 7.5
NVD ベクトル: 🔍

CVSSv2情報

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

ベクトル	複雑さ	認証	機密性	完全性	可用性
解除	解除	解除	解除	解除	解除
解除	解除	解除	解除	解除	解除
解除	解除	解除	解除	解除	解除

VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍

NVD ベーススコア: 🔍

悪用情報

クラス: メモリ破損
CWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍

物理的: いいえ
ローカル: いいえ
リモート: はい

可用性: 🔍
ステータス: 未定義

EPSS Score: 🔍
EPSS Percentile: 🔍

価格予測: 🔍
現在の価格評価: 🔍

0-Day	解除	解除	解除	解除
本日	解除	解除	解除	解除

Nessus ID: 101365
Nessus 名前: Windows 8.1 and Windows Server 2012 R2 July 2017 Security Updates
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
Nessus Context: 🔍

OpenVAS ID: 802136
OpenVAS 名前: Microsoft Windows Multiple Vulnerabilites (KB4025344)
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍

Qualys ID: 🔍
Qualys 名前: 🔍

脅威インテリジェンス情報

関心: 🔍
アクティブアクター: 🔍
アクティブなAPTグループ: 🔍

対策情報

推奨: パッチ
ステータス: 🔍

リアクション時間: 🔍
0day日時: 🔍
暴露時間: 🔍

パッチ: KB4025338

タイムライン情報

2017年05月03日 🔍
2017年07月11日 +69 日 🔍
2017年07月11日 +0 日 🔍
2017年07月11日 +0 日 🔍
2017年07月11日 +0 日 🔍
2017年07月11日 +0 日 🔍
2017年07月11日 +0 日 🔍
2017年07月12日 +1 日 🔍
2022年12月12日 +1979 日 🔍

ソース情報

ベンダー: microsoft.com

勧告: KB4025338
組織: Microsoft
ステータス: 確認済み
確認: 🔍

CVE: CVE-2017-8606 (🔍)
GCVE (CVE): GCVE-0-2017-8606
GCVE (VulDB): GCVE-100-103459

OVAL: 🔍

SecurityFocus: 99408 - Microsoft Edge and Internet Explorer CVE-2017-8606 Remote Memory Corruption Vulnerability
SecurityTracker: 1038848

関連情報: 🔍

エントリ情報

作成済み: 2017年07月12日 10:49
更新済み: 2022年12月12日 10:41
変更: 2017年07月12日 10:49 (91), 2019年10月25日 08:23 (5), 2022年12月12日 10:41 (4)
完了: 🔍
Cache ID: 216::103

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

討論

コメントはまだありません。言語: ja + en.

コメントするにはログインしてください。

◂ 前概要次 ▸

Might our Artificial Intelligence support you?

Check our Alexa App!