CVSS Meta Temp score | Preço de exploração actual (≈) | Nota de Interesse CTI |
---|---|---|
4.9 | $5k-$25k | 0.00 |
Uma vulnerabilidade foi encontrada em Google Android 5.0/5.1. Foi declarada como crítico. Afectado é uma função desconhecida do componente Telephony. A manipulação com uma entrada desconhecida leva a direitos alargados. A definição de CWE para a vulnerabilidade é CWE-264. O aconselhamento é partilhado para download em groups.google.com.
A vulnerabilidade é identificada como CVE-2015-6614. A atribuição do CVE aconteceu em 21/08/2015. Não há detalhes técnicos disponíveis. A vulnerabilidade é relativamente popular. Não há nenhuma exploração disponível. Deve assumir-se que uma exploração custa actualmente cerca de USD $5k-$25k. O projecto MITRE ATT&CK utiliza a técnica de ataque T1068 para esta edição. O aconselhamento aponta para o seguinte:
A vulnerability in the Telephony component that can enable a local malicious application to pass unauthorized data to the restricted network interfaces, potentially impacting data charges. It could also prevent the device from receiving calls as well as allowing an attacker to control the mute settings of calls. This issue is rated as Moderate severity because it can be used to improperly gain “dangerous” permissions.
Esperamos que o dia 0 tenha valido aproximadamente $25k-$100k.
A actualização para a versão Build LMY48X e 6.0 Security Patch Level 11-01-2015 é capaz de abordar esta questão. Recomenda-se a actualização do componente afectado. Uma possível atenuação foi publicada 3 Meses após a revelação da vulnerabilidade.
A vulnerabilidade está também documentada noutras bases de dados de vulnerabilidade: X-Force (107824) e Vulnerability Center (SBV-54124).
Produto
Tipo
Fabricante
Nome
Versão
Licença
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 5.6VulDB Meta Temp score: 4.9
VulDB Pontuação Base: 5.6
VulDB Pontuação da Tempestade: 4.9
VulDB Vector: 🔍
VulDB Fiabilidade: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
---|---|---|---|---|---|
Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação da Tempestade: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Classe: Direitos alargadosCWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Estado: Não provado
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência dos preços: 🔍
Estimativa de preço actual: 🔍
0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
---|---|---|---|---|
Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de Ameaças
Interesse: 🔍Actores Activos: 🔍
Grupos APT activos: 🔍
Contra-medidas
Recomendação: ActualizaçãoEstado: 🔍
Tempo de resposta: 🔍
Tempo 0-Dia: 🔍
Tempo de Exposição: 🔍
Actualização: Android Build LMY48X/6.0 Security Patch Level 11-01-2015
Linha do tempo
21/08/2015 🔍02/09/2015 🔍
01/11/2015 🔍
02/11/2015 🔍
03/11/2015 🔍
03/11/2015 🔍
03/11/2015 🔍
26/06/2022 🔍
Fontes
Fabricante: google.comAconselhamento: Nexus Security Bulletin, November 2015
Pessoa: Dongkwan Kim, Hongil Kim
Estado: Confirmado
CVE: CVE-2015-6614 (🔍)
X-Force: 107824 - Google Android Telephony privilege escalation
SecurityTracker: 1034049
Vulnerability Center: 54124 - Google Android Remote Privilege Escalation in Telephony - CVE-2015-6614, Critical
scip Labs: https://www.scip.ch/en/?labs.20150917
Veja também: 🔍
Entrada
Criado em: 03/11/2015 16h05Actualizado em: 26/06/2022 08h37
Ajustamentos: 03/11/2015 16h05 (63), 10/03/2018 10h55 (6), 26/06/2022 08h37 (4)
Completo: 🔍
Ainda sem comentários. Idiomas: pt + en.
Por favor inicie sessão para comentar.