| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 6.3 | $0-$5k | 0.00 |
Sumário
Uma vulnerabilidade foi encontrada em Adobe Flash. Foi classificada como crítico. O elemento afetado é uma função não identificada no componente Sandbox. A manipulação com uma entrada desconhecida leva a Elevação de Privilégios. Além disso, um exploit está disponível. Recomenda-se a actualização do componente afectado.
Detalhes
Uma vulnerabilidade foi encontrada em Adobe Flash. Foi classificada como crítico. O elemento afetado é uma função não identificada no componente Sandbox. A manipulação com uma entrada desconhecida leva a Elevação de Privilégios. Usar CWE para declarar o problema leva a CWE-269. A fraqueza foi publicada 27/09/2016 por Leone Pontorieri como Mailinglist Post (Full-Disclosure). O comunicado foi disponibilizado para download em seclists.org.
Nenhuma informação técnica disponível. Esta vulnerabilidade apresenta popularidade inferior à média. Além disso, um exploit está disponível. O exploit foi exposto ao público e pode ser aproveitado. Atualmente, o preço atual de um exploit pode ser aproximadamente USD $0-$5k no momento. O projeto MITRE ATT&CK declara a técnica de ataque como T1068.
É declarado como prova de conceito. O exploit foi compartilhado para download em seclists.org. Como 0 dia, o preço estimado do subsolo foi de cerca de $25k-$100k. Segue o código empregado pelo exploit:
navigateToURL(new URLRequest("file:///tmp/%61ttack%2Dthis-sandbox.html")); O comunicado destaca:Flash has never fixed these issues and local-with-filesystem sandbox can be optionally enabled, by editing a configuration file. So, Flash still contains the vulnerable piece of code, but it can be exploited only if an uncommon setting is enabled. In this way, these vulnerabilities are “frozen” in the code and their fate is to be reproduced in every future version of Adobe Flash, but it seems unrealistic to use those again in a real world scenario.
Recomenda-se a actualização do componente afectado. O parecer contém a seguinte observação:
Like a lot of love stories, the one between Flash and local files is over. Local-with-filesystem sandbox has today, after a decade, been killed by Adobe, making (almost) obsolete those Flash files using that feature.
Produto
Tipo
Fabricante
Nome
Licença
Site
- Fabricante: https://www.adobe.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 7.3VulDB Meta Pontuação Temporária: 6.3
VulDB Pontuação Base: 7.3
VulDB Pontuação Temporária: 6.3
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
Exploração
Classe: Elevação de PrivilégiosCWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Físico: Não
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Acesso: Público
Estado: Prova de conceito
Autor: Leone Pontorieri
Descarregar: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: AtualizaçãoEstado: 🔍
Tempo 0-dia: 🔍
Tempo de atraso de exploração: 🔍
Linha do tempo
27/09/2016 🔍27/09/2016 🔍
29/09/2016 🔍
27/04/2019 🔍
Fontes
Fabricante: adobe.comAconselhamento: seclists.org
Pessoa: Leone Pontorieri
Estado: Não definido
GCVE (VulDB): GCVE-100-92243
scip Labs: https://www.scip.ch/en/?labs.20161013
Veja também: 🔍
Entrada
Criado: 29/09/2016 15h45Atualizado: 27/04/2019 18h10
Ajustamentos: 29/09/2016 15h45 (49), 27/04/2019 18h10 (2)
Completo: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.