| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 6.3 | $0-$5k | 0.00 |
要約
Adobe Flash内に 重大 として分類された脆弱性が発見されました。 この問題により影響を受けるのは、コンポーネント【Sandbox】の未知の機能です。 この Whitespaceの一部としての操作は、 特権昇格を引き起こします。 エクスプロイトは利用できません。 影響を受けたコンポーネントのアップグレードを推奨します。
詳細
Adobe Flash内に 重大 として分類された脆弱性が発見されました。 この問題により影響を受けるのは、コンポーネント【Sandbox】の未知の機能です。 この Whitespaceの一部としての操作は、 特権昇格を引き起こします。 問題をCWEで宣言すると、CWE-451 になります。 この弱点は発表されました 2016年09月27日 Leone Pontorieriによって Mailinglist Postとして (Full-Disclosure)。 アドバイザリーは seclists.org にてダウンロード用に公開されています。
技術的な詳細は利用できません。 この脆弱性の一般的な利用度は平均を下回っています。 エクスプロイトは利用できません。 このエクスプロイトは一般に公開されており、利用される恐れがあります。 現時点で、脆弱性の構成から考えられる取引価格帯を約$0-$5k米ドルと算出しました。 MITRE ATT&CKプロジェクトは、この問題に対して攻撃手法 T1566.003 を使用しました。
概念実証 として宣言されています。 seclists.orgでエクスプロイトが共有されています。 0dayにはおよそ $25k-$100k の価値があったと予想しています。 アドバイザリでは以下の点が述べられています:
Flash has never fixed these issues and local-with-filesystem sandbox can be optionally enabled, by editing a configuration file. So, Flash still contains the vulnerable piece of code, but it can be exploited only if an uncommon setting is enabled. In this way, these vulnerabilities are “frozen” in the code and their fate is to be reproduced in every future version of Adobe Flash, but it seems unrealistic to use those again in a real world scenario.】のプラグインを提供しています。
影響を受けたコンポーネントのアップグレードを推奨します。 アドバイザリには以下のようなコメントが記載されています:
Like a lot of love stories, the one between Flash and local files is over. Local-with-filesystem sandbox has today, after a decade, been killed by Adobe, making (almost) obsolete those Flash files using that feature.
製品
タイプ
ベンダー
名前
ライセンス
ウェブサイト
- ベンダー: https://www.adobe.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 7.3VulDB 一時的なメタスコア: 6.3
VulDB ベーススコア: 7.3
VulDB 一時的なスコア: 6.3
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
悪用
クラス: 特権昇格CWE: CWE-451
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
アクセス: パブリック
ステータス: 概念実証
著者: Leone Pontorieri
ダウンロード: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
0day日時: 🔍
エクスプロイト遅延時間: 🔍
タイムライン
2016年09月27日 🔍2016年09月27日 🔍
2016年09月29日 🔍
2019年04月27日 🔍
ソース
ベンダー: adobe.com勧告: seclists.org
調査者: Leone Pontorieri
ステータス: 未定義
GCVE (VulDB): GCVE-100-92245
scip Labs: https://www.scip.ch/en/?labs.20161013
関連情報: 🔍
エントリ
作成済み: 2016年09月29日 15:45更新済み: 2019年04月27日 18:19
変更: 2016年09月29日 15:45 (48), 2019年04月27日 18:19 (2)
完了: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。