| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 4.1 | $0-$5k | 0.00 |
要約
現在、Microsoft Visual Studio 2010 SP1/2012 Update 5/2013 Update 5/2015 Update 3/2017にて、問題があると分類される脆弱性が確認されています。 該当するのは 不明な関数です。 この PDB Fileの一部としての操作は、 情報漏えいを引き起こします。 この脆弱性はCVE-2018-1037として知られています。 リモート攻撃が可能です。 この問題の修正にはパッチの適用が推奨されます。
詳細
現在、Microsoft Visual Studio 2010 SP1/2012 Update 5/2013 Update 5/2015 Update 3/2017にて、問題があると分類される脆弱性が確認されています。 該当するのは 不明な関数です。 この PDB Fileの一部としての操作は、 情報漏えいを引き起こします。 この問題をCWEでは、CWE-200 と定義しました。 バグが発見されたのは2018年04月10日です。 この脆弱性は 2018年04月10日に Google Project Zeroの Mateusz Jurczykより「ウェブサイト」の Security Update Guideにて 紹介されました。 アドバイザリはportal.msrc.microsoft.comにて共有されています。
この脆弱性はCVE-2018-1037として知られています。 CVEの割当は2017年12月01日で行われました。 リモート攻撃が可能です。 技術的な情報は提供されていません。 この脆弱性の人気度は平均より低いです。 現時点では、エクスプロイトの価格は約USD $0-$5kと考えられます。 MITRE ATT&CKプロジェクトはT1592という攻撃手法を宣言しています。 アドバイザリは以下の内容を示しています:
An information disclosure vulnerability exists when Visual Studio improperly discloses limited contents of uninitialized memory while compiling program database (PDB) files. An attacker who took advantage of this information disclosure could view uninitialized memory from the Visual Studio instance used to compile the PDB file.
このエクスプロイトツールは 未定義 として宣言されています。 0-dayの際、アンダーグラウンド市場での想定価格は$5k-$25k前後でした。 脆弱性診断ツールNessusは、ID 109029のプラグインを用意しています。 これは【Windows : Microsoft Bulletins 】に分類されています。 プラグインはlタイプのコンテキストで動作しています。 商用脆弱性スキャナーQualysではプラグイン【 91442 (Microsoft Visual Studio Security Update for April 2018) 】を使用してこの問題をテストできます。
この問題の修正にはパッチの適用が推奨されます。 脆弱性の開示から すぐに 後に、可能な緩和策が公表されました。
脆弱性は「SecurityFocus (BID 103715) , Tenable (109029)」等の脆弱性データベースにも文書化されています。
製品
タイプ
ベンダー
名前
バージョン
ライセンス
ウェブサイト
CPE 2.3
CPE 2.2
ビデオ
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 4.3VulDB 一時的なメタスコア: 4.2
VulDB ベーススコア: 4.3
VulDB 一時的なスコア: 4.1
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 4.3
NVD ベクトル: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: 情報漏えいCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未定義
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
Nessus ID: 109029
Nessus 名前: Security Updates for Microsoft Visual Studio Products (April 2018)
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
Nessus Context: 🔍
OpenVAS ID: 52240
OpenVAS 名前: Microsoft Visual Studio 2015 Update 3 Information Disclosure Vulnerability (KB4087371)
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍
Qualys ID: 🔍
Qualys 名前: 🔍
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: パッチステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
暴露時間: 🔍
タイムライン
2017年12月01日 🔍2018年04月10日 🔍
2018年04月10日 🔍
2018年04月10日 🔍
2018年04月10日 🔍
2018年04月11日 🔍
2018年04月13日 🔍
2018年04月13日 🔍
2021年02月09日 🔍
ソース
ベンダー: microsoft.com勧告: portal.msrc.microsoft.com
調査者: Mateusz Jurczyk
組織: Google Project Zero
ステータス: 確認済み
確認: 🔍
CVE: CVE-2018-1037 (🔍)
GCVE (CVE): GCVE-0-2018-1037
GCVE (VulDB): GCVE-100-116133
SecurityFocus: 103715 - Microsoft Visual Studio CVE-2018-1037 Information Disclosure Vulnerability
SecurityTracker: 1040664
エントリ
作成済み: 2018年04月13日 10:09更新済み: 2021年02月09日 18:45
変更: 2018年04月13日 10:09 (77), 2020年02月09日 10:26 (6), 2021年02月09日 18:45 (2)
完了: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。