Microsoft Internet Explorer 9/10/11 Scripting Engine Divulgação de Informação
| CVSS Meta Temp score | Preço de exploração actual (≈) | Nota de Interesse CTI |
|---|---|---|
| 3.7 | $0-$5k | 0.00 |
Uma vulnerabilidade, que foi classificada como problemático, foi encontrada em Microsoft Internet Explorer 9/10/11. Afectado é uma função desconhecida do componente Scripting Engine. A manipulação com uma entrada desconhecida leva a Divulgação de Informação. A definição de CWE para a vulnerabilidade é CWE-200. O bug foi descoberto em 14/11/2017. O aconselhamento é partilhado para download em portal.msrc.microsoft.com.
A vulnerabilidade é identificada como CVE-2017-11791. A atribuição do CVE aconteceu em 31/07/2017. O ataque pode ser levado a cabo através da rede. Não há detalhes técnicos disponíveis. A vulnerabilidade não é bem conhecida. Não há nenhuma exploração disponível. O projecto MITRE ATT&CK utiliza a técnica de ataque T1592 para esta edição. O aconselhamento aponta para o seguinte:
An information disclosure vulnerability exists when the scripting engine does not properly handle objects in memory in Microsoft browsers. An attacker who successfully exploited the vulnerability could obtain information to further compromise the user’s system.
É declarado como não definido. Esperamos que o dia 0 tenha valido aproximadamente $25k-$100k. O scanner de vulnerabilidade Nessus fornece um plugin com o ID 104548 (KB4048952: Windows 10 Version 1511 November 2017 Cumulative Update), que ajuda a determinar a existência da falha num ambiente alvo. É atribuído à família Windows : Microsoft Bulletins. O plugin está a funcionar no contexto do tipo l. O scanner de vulnerabilidade comercial Qualys é capaz de testar este problema com plugin 100322 (Microsoft Internet Explorer Security Update for November 2017).
O nome do adesivo é KB4048954. O bugfix está pronto para download em catalog.update.microsoft.com. Recomenda-se a aplicação de um remendo para resolver este problema.
A vulnerabilidade está também documentada noutras bases de dados de vulnerabilidade: SecurityFocus (BID 101715) e Tenable (104548).
Produto
Tipo
Fabricante
Nome
Versão
Licença
Apoio
- end of life
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 3.9VulDB Meta Temp score: 3.8
VulDB Pontuação Base: 4.3
VulDB Pontuação da Tempestade: 4.1
VulDB Vector: 🔍
VulDB Fiabilidade: 🔍
Fabricante Pontuação Base (Microsoft): 4.3
Fabricante Vector (Microsoft): 🔍
NVD Pontuação Base: 3.1
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação da Tempestade: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Classe: Divulgação de InformaçãoCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Estado: Não definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência dos preços: 🔍
Estimativa de preço actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Nessus ID: 104548
Nessus Nome: KB4048952: Windows 10 Version 1511 November 2017 Cumulative Update
Nessus Arquivo: 🔍
Nessus Risco: 🔍
Nessus Família: 🔍
Nessus Context: 🔍
OpenVAS ID: 801514
OpenVAS Nome: Microsoft Windows Multiple Vulnerabilities (KB4048957)
OpenVAS Arquivo: 🔍
OpenVAS Família: 🔍
Qualys ID: 🔍
Qualys Nome: 🔍
Inteligência de Ameaças
Interesse: 🔍Actores Activos: 🔍
Grupos APT activos: 🔍
Contra-medidas
Recomendação: PatchEstado: 🔍
Tempo de resposta: 🔍
Tempo 0-Dia: 🔍
Tempo de Exposição: 🔍
Patch: KB4048954
Linha do tempo
31/07/2017 🔍14/11/2017 🔍
14/11/2017 🔍
14/11/2017 🔍
14/11/2017 🔍
14/11/2017 🔍
14/11/2017 🔍
15/11/2017 🔍
23/01/2021 🔍
Fontes
Fabricante: microsoft.comAconselhamento: KB4048954
Pessoa: Hui Gao
Empresa: Palo Alto Networks
Estado: Confirmado
Confirmado: 🔍
CVE: CVE-2017-11791 (🔍)
OVAL: 🔍
SecurityTracker: 1039796
SecurityFocus: 101715 - Microsoft Internet Explorer and Edge CVE-2017-11791 Information Disclosure Vulnerability
Veja também: 🔍
Entrada
Criado em: 15/11/2017 10h30Actualizado em: 23/01/2021 14h06
Ajustamentos: 15/11/2017 10h30 (80), 06/12/2019 09h50 (17), 23/01/2021 14h06 (3)
Completo: 🔍
Cache ID: 3:423:103
Ainda sem comentários. Idiomas: pt + en.
Por favor inicie sessão para comentar.