Microsoft Edge Scripting Engine Divulgação de Informação

CVSS Meta Temp scorePreço de exploração actual (≈)Nota de Interesse CTI
3.7$0-$5k0.00

Uma vulnerabilidade foi encontrada em Microsoft Edge e classificada como problemático. Afectado é uma função desconhecida do componente Scripting Engine. A manipulação com uma entrada desconhecida leva a Divulgação de Informação. Usar a CWE para declarar o problema leva à CWE-200. O bug foi descoberto em 14/11/2017. O aconselhamento é partilhado para download em portal.msrc.microsoft.com.

A vulnerabilidade é identificada como CVE-2017-11791. A atribuição do CVE aconteceu em 31/07/2017. O ataque pode ser iniciado a partir da rede. Não há detalhes técnicos disponíveis. A vulnerabilidade não é bem conhecida. Não há nenhuma exploração disponível. Esta vulnerabilidade é atribuída a T1592 pelo projecto MITRE ATT&CK. O aconselhamento aponta para o seguinte:

An information disclosure vulnerability exists when the scripting engine does not properly handle objects in memory in Microsoft browsers. An attacker who successfully exploited the vulnerability could obtain information to further compromise the user’s system.

É declarado como não definido. Como 0 dia, o preço estimado do subsolo foi de cerca de $25k-$100k. O scanner de vulnerabilidade Nessus fornece um plugin com o ID 104894 (Security Updates for Internet Explorer (November 2017)), que ajuda a determinar a existência da falha num ambiente alvo. É atribuído à família Windows : Microsoft Bulletins. O plugin está a funcionar no contexto do tipo l. O scanner de vulnerabilidade comercial Qualys é capaz de testar este problema com plugin 100322 (Microsoft Internet Explorer Security Update for November 2017).

O nome do adesivo é KB4048954. O bugfix está pronto para download em catalog.update.microsoft.com. Recomenda-se a aplicação de um remendo para resolver este problema.

A vulnerabilidade está também documentada noutras bases de dados de vulnerabilidade: SecurityFocus (BID 101715) e Tenable (104894).

Produtoinformação

Tipo

Fabricante

Nome

Licença

CPE 2.3informação

CPE 2.2informação

CVSSv4informação

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 3.9
VulDB Meta Temp score: 3.8

VulDB Pontuação Base: 4.3
VulDB Pontuação da Tempestade: 4.1
VulDB Vector: 🔍
VulDB Fiabilidade: 🔍

Fabricante Pontuação Base (Microsoft): 4.3
Fabricante Vector (Microsoft): 🔍

NVD Pontuação Base: 3.1
NVD Vector: 🔍

CVSSv2informação

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VectorComplexidadeAutenticaçãoConfidencialidadeIntegridadeDisponibilidade
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação da Tempestade: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 🔍

Exploraçãoinformação

Classe: Divulgação de Informação
CWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

Local: Não
Remoto: Sim

Disponibilidade: 🔍
Estado: Não definido

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência dos preços: 🔍
Estimativa de preço actual: 🔍

0-DayDesbloquearDesbloquearDesbloquearDesbloquear
HojeDesbloquearDesbloquearDesbloquearDesbloquear

Nessus ID: 104894
Nessus Nome: Security Updates for Internet Explorer (November 2017)
Nessus Arquivo: 🔍
Nessus Risco: 🔍
Nessus Família: 🔍
Nessus Context: 🔍

OpenVAS ID: 801514
OpenVAS Nome: Microsoft Windows Multiple Vulnerabilities (KB4048957)
OpenVAS Arquivo: 🔍
OpenVAS Família: 🔍

Qualys ID: 🔍
Qualys Nome: 🔍

Inteligência de Ameaçasinformação

Interesse: 🔍
Actores Activos: 🔍
Grupos APT activos: 🔍

Contra-medidasinformação

Recomendação: Patch
Estado: 🔍

Tempo de resposta: 🔍
Tempo 0-Dia: 🔍
Tempo de Exposição: 🔍

Patch: KB4048954

Linha do tempoinformação

31/07/2017 🔍
14/11/2017 +106 Dias 🔍
14/11/2017 +0 Dias 🔍
14/11/2017 +0 Dias 🔍
14/11/2017 +0 Dias 🔍
14/11/2017 +0 Dias 🔍
15/11/2017 +1 Dias 🔍
30/11/2017 +15 Dias 🔍
23/01/2021 +1150 Dias 🔍

Fontesinformação

Fabricante: microsoft.com

Aconselhamento: KB4048954
Pessoa: Hui Gao
Empresa: Palo Alto Networks
Estado: Confirmado
Confirmado: 🔍

CVE: CVE-2017-11791 (🔍)
OVAL: 🔍

SecurityTracker: 1039796
SecurityFocus: 101715 - Microsoft Internet Explorer and Edge CVE-2017-11791 Information Disclosure Vulnerability

Veja também: 🔍

Entradainformação

Criado em: 15/11/2017 10h30
Actualizado em: 23/01/2021 14h08
Ajustamentos: 15/11/2017 10h30 (87), 06/12/2019 09h58 (7), 23/01/2021 14h08 (3)
Completo: 🔍

Discussão

Ainda sem comentários. Idiomas: pt + en.

Por favor inicie sessão para comentar.

VoltarVisão GeralPróximo

Interested in the pricing of exploits?

See the underground prices here!