Digia Qt do 4.7.3 harfbuzz-gpos.c Lookup_MarkMarkPos memory corruption
CVSS Wynik metatemperatury | Exploit Aktualna Cena (≈) | Wynik odsetkowy CTI |
---|---|---|
9.5 | $0-$5k | 0.00 |
W Digia Qt została stwierdzona podatność. Problemem dotknięta jest funkcja Lookup_MarkMarkPos
w pliku harfbuzz-gpos.c. Poprzez manipulację przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności przepełnienie bufora. Wpływa to na poufność, spójność i dostępność.
Informacja o podatności została opublikowana w dniu 2012-06-15 przez osobę/y Josh Bressers w formie potwierdzone git commit (GIT Repository). Raport na temat podatności został udostępniony pod adresem cgit.freedesktop.org. Identyfikatorem tej podatności jest CVE-2011-3193. Atak może zostać przeprowadzony zdalnie. Nie potrzeba żadnej formy uwierzytelnienia w celu eksploitacji. Szczegóły techniczne są znane, ale brak dostępnego exploita.
Skaner podatności Nessus jest wyposażony w plugin ID 75609 (openSUSE Security Update : libQtWebKit-devel (openSUSE-SU-2011:1119-1)), który pomaga ustalić, czy dane środowisko jest podatne na atak.
Aktualizacja do wersji 4.5.2 eliminuje tę podatność. Zastosowanie poprawka eliminuje problem. Poprawka jet dostępna pod adresem cgit.freedesktop.org. Sugeruje się, że najlepszym zabezpieczeniem jest Poprawka.
Błąd jest również udokumentowany w bazie podatności X-Force (69991) i Tenable (75609).
Produkt
Sprzedawca
Imię
Wersja
- 4.0.0
- 4.0.1
- 4.1.0
- 4.1.1
- 4.1.2
- 4.1.3
- 4.1.4
- 4.1.5
- 4.2.0
- 4.2.1
- 4.2.3
- 4.3.0
- 4.3.1
- 4.3.2
- 4.3.3
- 4.3.4
- 4.3.5
- 4.4.0
- 4.4.1
- 4.4.2
- 4.4.3
- 4.5.0
- 4.5.1
- 4.5.2
- 4.5.3
- 4.6.0
- 4.6.1
- 4.6.2
- 4.6.3
- 4.6.4
- 4.7.0
- 4.7.1
- 4.7.2
- 4.7.3
Licencja
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv3
VulDB Wynik metabazy: 10.0VulDB Wynik metatemperatury: 9.5
VulDB Wynik podstawowy: 10.0
VulDB Wynik tymczasowy: 9.5
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Wektor | Możliwość wykorzystania | Uwierzytelnianie | Poufność | Integralność | Dostępność |
---|---|---|---|---|---|
odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍
NVD Wynik podstawowy: 🔍
Exploit
Klasa: Przepełnienie buforaCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Lokalny: Nie
Zdalny: Tak
Dostępność: 🔍
Status: Nie określono
EPSS Score: 🔍
EPSS Percentile: 🔍
Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍
0-Day | odblokować | odblokować | odblokować | odblokować |
---|---|---|---|---|
Dzisiaj | odblokować | odblokować | odblokować | odblokować |
Nessus ID: 75609
Nessus Imię: openSUSE Security Update : libQtWebKit-devel (openSUSE-SU-2011:1119-1)
Nessus Plik: 🔍
Nessus Ryzyko: 🔍
Nessus Family: 🔍
Nessus Port: 🔍
OpenVAS ID: 881004
OpenVAS Imię: CentOS Update for qt4 CESA-2011:1324 centos5 i386
OpenVAS Plik: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Imię: 🔍
Inteligencja Zagrożeń
Wysiłek: 🔍Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍
Przeciwdziałanie
Zalecane: PoprawkaStatus: 🔍
0-dniowy czas: 🔍
Upgrade: Qt 4.5.2
Poprawka: cgit.freedesktop.org
Oś czasu
2010-09-21 🔍2011-08-19 🔍
2011-09-21 🔍
2011-09-22 🔍
2011-09-27 🔍
2012-06-15 🔍
2012-06-15 🔍
2014-06-13 🔍
2015-03-23 🔍
2021-12-03 🔍
Źródła
Raport: USN-1504-1Badacz: Josh Bressers
Status: Potwierdzone
Potwierdzenie: 🔍
CVE: CVE-2011-3193 (🔍)
OVAL: 🔍
X-Force: 69991
Vulnerability Center: 33326 - Pango 1.2.3, 1.2.4, 1.2.5 and 1.28.3 HarfBuzz Remote Code Execution Vulnerability, Medium
SecurityFocus: 49723 - Pango HarfBuzz Engine Buffer Overflow Vulnerability
Secunia: 41537 - Qt Insecure Library Loading and Buffer Overflow Vulnerabilities, Highly Critical
OSVDB: 75652
Wpis
Stworzono: 2015-03-23 16:50Aktualizacje: 2021-12-03 23:05
Zmiany: 2015-03-23 16:50 (68), 2017-04-02 13:52 (14), 2021-12-03 22:46 (2), 2021-12-03 22:55 (1), 2021-12-03 23:05 (1)
Kompletny: 🔍
Brak komentarzy. Języki: pl + en.
Zaloguj się, aby skomentować.