| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 6.4 | $0-$5k | 0.00 |
要約
このたび、GStreamer 1.0において、重大に分類される脆弱性が見つかりました。 この問題により影響を受けるのは、コンポーネント【ID3v2 Tag Handler】の未知の機能です。 未知の値でMP3 Fileの一部として攻撃することが、 メモリ破損を突く攻撃に繋がります}。 攻撃はリモートで開始される可能性が高いです。 さらに、攻撃手法が利用可能です。 提案された回避策を適用することを推奨します。
詳細
このたび、GStreamer 1.0において、重大に分類される脆弱性が見つかりました。 この問題により影響を受けるのは、コンポーネント【ID3v2 Tag Handler】の未知の機能です。 未知の値でMP3 Fileの一部として攻撃することが、 メモリ破損を突く攻撃に繋がります}。 問題をCWEで宣言すると、CWE-119 になります。 この弱点は 2016年12月08日に発表されました 、Joshuaによって 、Gstreamer ID3v2 v1.0 - Out of Bounds Readとして 、Mailinglist Postとして (Full-Disclosure)。 アドバイザリーは seclists.org で共有されています。
攻撃はリモートで開始される可能性が高いです。 テクニカルな情報はありません。 この脆弱性の一般的な利用度は平均を下回っています。 さらに、攻撃手法が利用可能です。 エクスプロイトツールは一般に公開されており、悪用される可能性があります。 現時点で、脆弱性の構成から考えられる取引価格帯を約$0-$5k米ドルと算出しました。 アドバイザリーは次を指摘しています。
The Gstreamer ID3v2 implementation uses arbitrarily supplied data to generate buffers for the ID3v2 object and frames. By providing a maliciously crafted file with a null length in the ID3v2 header and an arbitrarily set length in the succeeding frame it is possible to generate an out of bounds read. An attacker may leverage this vulnerability to cause at minimum a denial of service attack.
概念実証 に指定されています。 エクスプロイトツールは seclists.org からダウンロードできます。 0-dayの場合、推定されるアンダーグラウンドでの価格は約$0-$5kでした。
提案された回避策を適用することを推奨します。 アドバイザリには次のような記載があります:
This vulnerability previously affects GNU/Linux-based Firefox versions 43 and below. Since Firefox is no longer built against Gstreamer the vulnerability is no longer relevant.
製品
タイプ
名前
バージョン
ライセンス
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 7.3VulDB 一時的なメタスコア: 6.4
VulDB ベーススコア: 7.3
VulDB 一時的なスコア: 6.4
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
悪用
クラス: メモリ破損CWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
アクセス: パブリック
ステータス: 概念実証
著者: Joshua
ダウンロード: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: 回避策ステータス: 🔍
0day日時: 🔍
エクスプロイト遅延時間: 🔍
タイムライン
2016年12月08日 🔍2016年12月08日 🔍
2016年12月11日 🔍
2019年07月24日 🔍
ソース
勧告: Gstreamer ID3v2 v1.0 - Out of Bounds Read調査者: Joshua
ステータス: 未定義
GCVE (VulDB): GCVE-100-94087
scip Labs: https://www.scip.ch/en/?labs.20161013
エントリ
作成済み: 2016年12月11日 10:54更新済み: 2019年07月24日 16:56
変更: 2016年12月11日 10:54 (47), 2019年07月24日 16:56 (2)
完了: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。