Microsoft Edge/ChakraCore Chakra Scripting Engine Excesso de tampão

CVSS Meta Temp scorePreço de exploração actual (≈)Nota de Interesse CTI
5.7$5k-$25k0.00

Uma vulnerabilidade foi encontrada em Microsoft Edge and ChakraCore e classificada como crítico. Afectado é uma função desconhecida do componente Chakra Scripting Engine. A manipulação com uma entrada desconhecida leva a Excesso de tampão. A definição de CWE para a vulnerabilidade é CWE-119. O aconselhamento é partilhado para download em portal.msrc.microsoft.com. O vendedor foi envolvido no processo de divulgação da vulnerabilidade.

A vulnerabilidade é identificada como CVE-2020-1037. O ataque pode ser levado a cabo através da rede. Não há detalhes técnicos disponíveis. A vulnerabilidade não é bem conhecida. Não há nenhuma exploração disponível. Deve assumir-se que uma exploração custa actualmente cerca de USD $5k-$25k. O aconselhamento aponta para o seguinte:

A remote code execution vulnerability exists in the way that the Chakra scripting engine handles objects in memory in Microsoft Edge (HTML-based). The vulnerability could corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user. An attacker who successfully exploited the vulnerability could gain the same user rights as the current user. If the current user is logged on with administrative user rights, an attacker who successfully exploited the vulnerability could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

É declarado como não definido. Esperamos que o dia 0 tenha valido aproximadamente $25k-$100k.

Recomenda-se a aplicação de um remendo para resolver este problema.

Produtoinformação

Tipo

Fabricante

Nome

Licença

CPE 2.3informação

CPE 2.2informação

CVSSv4informação

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 6.0
VulDB Meta Temp score: 5.9

VulDB Pontuação Base: 6.3
VulDB Pontuação da Tempestade: 6.0
VulDB Vector: 🔍
VulDB Fiabilidade: 🔍

Fabricante Pontuação Base (Microsoft): 4.2
Fabricante Vector (Microsoft): 🔍

NVD Pontuação Base: 7.5
NVD Vector: 🔍

CVSSv2informação

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VectorComplexidadeAutenticaçãoConfidencialidadeIntegridadeDisponibilidade
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação da Tempestade: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 🔍

Exploraçãoinformação

Classe: Excesso de tampão
CWE: CWE-119
ATT&CK: Desconhecido

Local: Não
Remoto: Sim

Disponibilidade: 🔍
Estado: Não definido

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência dos preços: 🔍
Estimativa de preço actual: 🔍

0-DayDesbloquearDesbloquearDesbloquearDesbloquear
HojeDesbloquearDesbloquearDesbloquearDesbloquear

Inteligência de Ameaçasinformação

Interesse: 🔍
Actores Activos: 🔍
Grupos APT activos: 🔍

Contra-medidasinformação

Recomendação: Patch
Estado: 🔍

Tempo de resposta: 🔍
Tempo 0-Dia: 🔍
Tempo de Exposição: 🔍

Linha do tempoinformação

04/11/2019 🔍
12/05/2020 +190 Dias 🔍
12/05/2020 +0 Dias 🔍
13/05/2020 +1 Dias 🔍
17/10/2020 +157 Dias 🔍

Fontesinformação

Fabricante: microsoft.com

Aconselhamento: portal.msrc.microsoft.com
Estado: Confirmado
Coordenado: 🔍

CVE: CVE-2020-1037 (🔍)

Entradainformação

Criado em: 13/05/2020 10h53
Actualizado em: 17/10/2020 14h55
Ajustamentos: 13/05/2020 10h53 (52), 13/05/2020 10h58 (17), 17/10/2020 14h55 (1)
Completo: 🔍

Discussão

Ainda sem comentários. Idiomas: pt + en.

Por favor inicie sessão para comentar.

Want to stay up to date on a daily basis?

Enable the mail alert feature now!