VDB-153182 · CVE-2020-0968 · GCVE-0-2020-0968

Microsoft Internet Explorer 9/11 Scripting Engine Excesso de tampão

CVSS Meta Pontuação Temporária	Preço atual do exploit (≈)	Nota de Interesse CTI
6.6	$5k-$25k	0.00

Sumárioinformação

Uma vulnerabilidade foi encontrada em Microsoft Internet Explorer 9/11. Foi classificada como crítico. A função afetada é desconhecida do componente Scripting Engine. A utilização pode causar Excesso de tampão. Esta vulnerabilidade está registrada como CVE-2020-0968. O ataque pode ser iniciado a partir da rede. Além do mais, um exploit está disponível. É aconselhável instalar um patch para solucionar este problema.

Detalhesinformação

Uma vulnerabilidade foi encontrada em Microsoft Internet Explorer 9/11. Foi classificada como crítico. A função afetada é desconhecida do componente Scripting Engine. A utilização pode causar Excesso de tampão. O uso do CWE para declarar o problema aponta para CWE-119. A falha foi publicada 14/04/2020 como Security Update Guide (Site). O boletim está compartilhado para download em portal.msrc.microsoft.com. A divulgação pública foi coordenada em cooperação com o vendedor.

Esta vulnerabilidade está registrada como CVE-2020-0968. O ataque pode ser iniciado a partir da rede. Detalhes técnicos não estão disponíveis. Esta vulnerabilidade tem popularidade abaixo da média. Além do mais, um exploit está disponível. Atualmente, o preço atual de um exploit pode ser aproximadamente USD $5k-$25k no momento. A recomendação ressalta:

A remote code execution vulnerability exists in the way that the scripting engine handles objects in memory in Internet Explorer. The vulnerability could corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user. An attacker who successfully exploited the vulnerability could gain the same user rights as the current user. If the current user is logged on with administrative user rights, an attacker who successfully exploited the vulnerability could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

Foi declarado como altamente funcional. Como 0-day, o valor estimado no mercado ilegal era por volta de $25k-$100k.

É aconselhável instalar um patch para solucionar este problema.

Produtoinformação

Tipo

Web Browser

Fabricante

Microsoft

Nome

Internet Explorer

Versão

Licença

comercial

Apoio

end of life

Site

Fabricante: https://www.microsoft.com/

CPE 2.3informação

CPE 2.2informação

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 6.7
VulDB Meta Pontuação Temporária: 6.6

VulDB Pontuação Base: 6.3
VulDB Pontuação Temporária: 6.0
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

Fabricante Pontuação Base (Microsoft): 6.4
Fabricante Vector (Microsoft): 🔍

NVD Pontuação Base: 7.5
NVD Vetor: 🔍

CVSSv2informação

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complexidade	Autenticação	Confidencialidade	Integridade	Disponibilidade
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 🔍

Exploraçãoinformação

Classe: Excesso de tampão
CWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Estado: Atacado

EPSS Score: 🔍
EPSS Percentile: 🔍

KEV Adicionado: 🔍
KEV Até quando: 🔍
KEV Medidas: 🔍
KEV Ransomware: 🔍
KEV Nota: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍