| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 9.6 | $0-$5k | 0.00 |
Sumário
Uma vulnerabilidade foi encontrada em ASN1C 7.0.0. Foi declarada como crítico. O elemento afetado é a função rtxMemHeapAlloc na biblioteca asn1rt_a.lib. A utilização pode causar Excesso de tampão.
Esta vulnerabilidade é identificada como CVE-2016-5080. Existe a possibilidade de executar o ataque de forma remota. Não existe nenhum exploit disponível.
Recomenda-se instalar um patch para corrigir esta vulnerabilidade.
Detalhes
Uma vulnerabilidade foi encontrada em ASN1C 7.0.0. Foi declarada como crítico. O elemento afetado é a função rtxMemHeapAlloc na biblioteca asn1rt_a.lib. A utilização pode causar Excesso de tampão. Ao utilizar CWE para declarar o problema, isso direciona para CWE-190. A falha foi publicada 18/07/2016 por Lucas Molas (Site). O comunicado foi disponibilizado para download em github.com. O relatório traz:
A vulnerability found in the runtime support libraries of the ASN1C compiler for C/C++ from Objective Systems Inc. could allow an attacker to remotely execute code in software systems, including embeded software and firmware, that use code generated by the ASN1C compiler. The vulnerability could be triggered remotely without any authentication in scenarios where the vulnerable code receives and processes ASN.1 encoded data from untrusted sources, these may include communications between mobile devices and telecommunication network infrastructure nodes, communications between nodes in a carrier's network or across carrier boundaries, or communication between mutually untrusted endpoints in a data network.
Esta vulnerabilidade é identificada como CVE-2016-5080. A atribuição do identificador CVE aconteceu em 26/05/2016. Existe a possibilidade de executar o ataque de forma remota. Há detalhes técnicos disponíveis. Esta vulnerabilidade apresenta popularidade inferior à média. Não existe nenhum exploit disponível. No momento, o preço atual de um exploit pode estar em torno de USD $0-$5k atualmente.
Foi declarado como não definido. A vulnerabilidade foi tratada como uma exploração não pública de dia zero durante pelo menos 42 dias. Como 0-day, o preço estimado no mercado clandestino era em torno de $0-$5k.
A atualização para a versão 7.0.1 e 7.0.2 é capaz de corrigir esta questão. Recomenda-se instalar um patch para corrigir esta vulnerabilidade.
Outros bancos de dados de vulnerabilidades também documentam esta vulnerabilidade: SecurityFocus (BID 91836) e SecurityTracker (ID 1036386).
Produto
Nome
Versão
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 9.8VulDB Meta Pontuação Temporária: 9.6
VulDB Pontuação Base: 9.8
VulDB Pontuação Temporária: 9.4
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 9.8
NVD Vetor: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Classe: Excesso de tampãoCWE: CWE-190 / CWE-189
CAPEC: 🔍
ATT&CK: 🔍
Físico: Não
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Estado: Não definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: PatchEstado: 🔍
Tempo 0-dia: 🔍
Atualização: ASN1C 7.0.1/7.0.2
Linha do tempo
26/05/2016 🔍06/06/2016 🔍
18/07/2016 🔍
19/07/2016 🔍
19/07/2016 🔍
20/07/2016 🔍
20/07/2016 🔍
13/01/2025 🔍
Fontes
Aconselhamento: 137970Pessoa: Lucas Molas
Estado: Confirmado
Confirmação: 🔍
CVE: CVE-2016-5080 (🔍)
GCVE (CVE): GCVE-0-2016-5080
GCVE (VulDB): GCVE-100-90138
CERT: 🔍
SecurityFocus: 91836 - Objective Systems ASN1C CVE-2016-5080 Heap Based Buffer Overflow Vulnerability
SecurityTracker: 1036386
Veja também: 🔍
Entrada
Criado: 20/07/2016 11h47Atualizado: 13/01/2025 04h02
Ajustamentos: 20/07/2016 11h47 (58), 07/03/2019 23h22 (13), 09/09/2022 07h04 (4), 13/01/2025 04h02 (15)
Completo: 🔍
Cache ID: 216:E10:103
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.