| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 6.4 | $0-$5k | 0.00 |
要約
このたび、Google Android 迄 6.0において、重大に分類される脆弱性が見つかりました。 影響を受けるのは、コンポーネント【libmedia】の未知の関数です。 未知の値で改ざんすることが、 特権昇格を突く攻撃に繋がります}。 この脆弱性はCVE-2015-6612という名称で流通しています。 影響を受けているコンポーネントのアップグレードを推奨します。
詳細
このたび、Google Android 迄 6.0において、重大に分類される脆弱性が見つかりました。 影響を受けるのは、コンポーネント【libmedia】の未知の関数です。 未知の値で改ざんすることが、 特権昇格を突く攻撃に繋がります}。 CWEを使用して問題を宣言すると、CWE-264 につながります。 この弱点は 2015年09月02日に発表されました 、Qidan He and Wen Xuによって 、KeenTeamと共に 、Nexus Security Bulletin, November 2015として 、Security Bulletinとして (Google Groups)。 アドバイザリはgroups.google.comで提供されています。
この脆弱性はCVE-2015-6612という名称で流通しています。 CVEが2015年08月21日に割り当てられました。 テクニカルな情報はありません。 この脆弱性の悪用頻度の高さは平均を超えています。 エクスプロイトツールの現在の価格はおそらく米ドルで約$0-$5kです。 MITRE ATT&CKプロジェクトは攻撃技術をT1068としています。 アドバイザリーは次を指摘しています。
There is a vulnerability in libmedia that can enable a local malicious application to execute arbitrary code within the context of the mediaserver service. This issue is rated as High severity because it can be used to access privileges which are not directly accessible to a third-party application.
脆弱性は、少なくとも 10 日の間、非公開の0day攻撃ツールとして扱われました。 0-dayの場合、推定されるアンダーグラウンドでの価格は約$25k-$100kでした。
Build LMY48X , 6.0 Security Patch Level 11-01-2015にアップグレードすることで、本問題を解消できます。 影響を受けているコンポーネントのアップグレードを推奨します。 脆弱性の公開後、3 月 経過してから対策が公開されました。
他の脆弱性データベースにも記載されている脆弱性です: X-Force (107822) , Vulnerability Center (SBV-55526).
製品
タイプ
ベンダー
名前
バージョン
- 1.0
- 1.1
- 1.5
- 1.6
- 2.0
- 2.0.1
- 2.1
- 2.2
- 2.2.1
- 2.2.2
- 2.2.3
- 2.3
- 2.3.1
- 2.3.2
- 2.3.3
- 2.3.4
- 2.3.5
- 2.3.6
- 2.3.7
- 3.0
- 3.1
- 3.2
- 3.2.1
- 3.2.2
- 3.2.3
- 3.2.4
- 3.2.5
- 3.2.6
- 4.0
- 4.0.1
- 4.0.2
- 4.0.3
- 4.0.4
- 4.1
- 4.1.1
- 4.1.2
- 4.2
- 4.2.1
- 4.2.2
- 4.3
- 4.3.1
- 4.4
- 4.4.1
- 4.4.2
- 4.4.3
- 4.4.4
- 5.0
- 5.0.1
- 5.0.2
- 5.1
- 5.1.1
- 6.0
ライセンス
ウェブサイト
- ベンダー: https://www.google.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 7.3VulDB 一時的なメタスコア: 6.4
VulDB ベーススコア: 7.3
VulDB 一時的なスコア: 6.4
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: 特権昇格CWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未実証
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
暴露時間: 🔍
アップグレード: Android Build LMY48X/6.0 Security Patch Level 11-01-2015
タイムライン
2015年08月21日 🔍2015年08月23日 🔍
2015年09月02日 🔍
2015年11月01日 🔍
2015年11月03日 🔍
2015年11月03日 🔍
2015年12月09日 🔍
2016年01月07日 🔍
2022年06月26日 🔍
ソース
ベンダー: google.com勧告: Nexus Security Bulletin, November 2015
調査者: Qidan He, Wen Xu
組織: KeenTeam
ステータス: 確認済み
CVE: CVE-2015-6612 (🔍)
GCVE (CVE): GCVE-0-2015-6612
GCVE (VulDB): GCVE-100-79007
X-Force: 107822 - Google Android libmedia privilege escalation
SecurityTracker: 1034049
Vulnerability Center: 55526 - Google Android Remote Privilege Escalation in Libmedia - CVE-2015-6612, Critical
scip Labs: https://www.scip.ch/en/?labs.20150917
関連情報: 🔍
エントリ
作成済み: 2015年11月03日 16:05更新済み: 2022年06月26日 08:29
変更: 2015年11月03日 16:05 (67), 2018年06月20日 08:40 (6), 2022年06月26日 08:29 (3)
完了: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。