Microsoft Edge/ChakraCore Chakra Scripting Engine Excesso de tampão
| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 5.2 | $5k-$25k | 0.00 |
Sumário
Detectou-se uma vulnerabilidade classificada como crítico em Microsoft Edge and ChakraCore. O impacto ocorre em uma função desconhecida no componente Chakra Scripting Engine. A utilização pode causar Excesso de tampão. Esta vulnerabilidade é referenciada como CVE-2019-0989. Existe a possibilidade de executar o ataque de forma remota. Não há exploit disponível. É recomendado aplicar um patch para resolver esta questão.
Detalhes
Detectou-se uma vulnerabilidade classificada como crítico em Microsoft Edge and ChakraCore. O impacto ocorre em uma função desconhecida no componente Chakra Scripting Engine. A utilização pode causar Excesso de tampão. Ao utilizar CWE para declarar o problema, isso direciona para CWE-119. A falha foi publicada 11/06/2019 como Security Update Guide (Site). O aviso pode ser baixado em portal.msrc.microsoft.com. A publicação pública foi feita em coordenação com o fornecedor.
Esta vulnerabilidade é referenciada como CVE-2019-0989. A designação do CVE foi realizada em 26/11/2018. Existe a possibilidade de executar o ataque de forma remota. Não existem detalhes técnicos acessíveis. A popularidade dessa vulnerabilidade é inferior à média. Não há exploit disponível. No momento, o preço atual de um exploit pode estar em torno de USD $5k-$25k atualmente. O aviso aponta:
A remote code execution vulnerability exists in the way that the Chakra scripting engine handles objects in memory in Microsoft Edge. The vulnerability could corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user. An attacker who successfully exploited the vulnerability could gain the same user rights as the current user. If the current user is logged on with administrative user rights, an attacker who successfully exploited the vulnerability could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.
Foi declarado como não definido. Como 0-day, o preço estimado no mercado clandestino era em torno de $25k-$100k. O scanner de vulnerabilidade comercial Qualys é capaz de testar este problema com plugin 91543 (Microsoft Edge Security Update for June 2019).
É recomendado aplicar um patch para resolver esta questão.
Produto
Tipo
Fabricante
Nome
Licença
Site
- Fabricante: https://www.microsoft.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 5.3VulDB Meta Pontuação Temporária: 5.2
VulDB Pontuação Base: 6.3
VulDB Pontuação Temporária: 6.0
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
Fabricante Pontuação Base (Microsoft): 3.1
Fabricante Vector (Microsoft): 🔍
NVD Pontuação Base: 7.5
NVD Vetor: 🔍
CNA Pontuação Base: 4.2
CNA Vetor: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Classe: Excesso de tampãoCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Físico: Não
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Estado: Não definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Qualys ID: 🔍
Qualys Nome: 🔍
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: PatchEstado: 🔍
Tempo de resposta: 🔍
Tempo 0-dia: 🔍
Tempo de exposição: 🔍
Linha do tempo
26/11/2018 🔍11/06/2019 🔍
11/06/2019 🔍
12/06/2019 🔍
20/05/2025 🔍
Fontes
Fabricante: microsoft.comAconselhamento: portal.msrc.microsoft.com
Estado: Confirmado
Coordenado: 🔍
CVE: CVE-2019-0989 (🔍)
GCVE (CVE): GCVE-0-2019-0989
GCVE (VulDB): GCVE-100-136266
Veja também: 🔍
Entrada
Criado: 12/06/2019 07h09Atualizado: 20/05/2025 22h07
Ajustamentos: 12/06/2019 07h09 (70), 21/06/2020 18h43 (1), 03/10/2023 09h50 (4), 20/05/2025 22h07 (26)
Completo: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.