Google Chrome 23.0.1271.64 SVG Filter отказ в обслуживании

CVSS Meta Temp ScoreТекущая цена эксплойта (≈)Балл интереса CTI
8.7$0-$5k0.00

СводкаИнформация

Уязвимость была найдена в Google Chrome 23.0.1271.64. Она была объявлена как критический. Неизвестная функция компонента SVG Filter поражена. Манипуляция приводит к отказ в обслуживании. Выявление этой уязвимости является CVE-2012-5133. Также существует доступный эксплойт. Рекомендуется провести обновление затронутого компонента.

ПодробностиИнформация

Уязвимость была найдена в Google Chrome 23.0.1271.64. Она была объявлена как критический. Неизвестная функция компонента SVG Filter поражена. Манипуляция приводит к отказ в обслуживании. Использование классификатора CWE для обозначения проблемы ведет к CWE-399. Слабость была опубликована 26.11.2012 специалистом Atte Kettunen (miaubiz) от компании Google Chrome Security Team под идентификатором 51437 как Консультация (Веб-сайт). Консультацию можно прочитать на сайте secunia.com. Публичный релиз был скоординирован в сотрудничестве с поставщиком.

Выявление этой уязвимости является CVE-2012-5133. Дата назначения CVE — 24.09.2012. Техническая информация не предоставлена. Популярность этой уязвимости ниже среднего. Также существует доступный эксплойт. Эксплойт доступен широкой публике и может быть использован. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время.

Задано как Доказательство концепции. В статусе 0-day примерная стоимость на черном рынке была около $25k-$100k. Сканер уязвимостей Nessus предоставляет плагин с ID 63069 (FreeBSD : chromium -- multiple vulnerabilities (4d64fc61-3878-11e2-a4eb-00262d5ed8ee)), который помогает определить наличие изъяна в целевой среде. Ему присвоено семейство FreeBSD Local Security Checks. Коммерческий сканер уязвимостей Qualys способен проверить эту проблему с помощью плагина 120697 (Google Chrome Prior to 23.0.1271.91 Multiple Vulnerabilities).

Обновление до версии 23.0.1271.91 способно решить эту проблему. Обновленную версию можно скачать по адресу google.com. Исправление готово для загрузки по адресу trac.webkit.org. Рекомендуется провести обновление затронутого компонента.

Эта уязвимость также документирована в других базах данных уязвимостей: SecurityFocus (BID 56684), X-Force (80291), Secunia (SA51437), SecurityTracker (ID 1027815) и Vulnerability Center (SBV-37723).

ПродуктИнформация

Тип

Поставщик

Имя

Версия

Лицензия

Веб-сайт

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 10.0
VulDB Meta Temp Score: 8.7

VulDB Базовый балл: 10.0
VulDB Временная оценка: 8.7
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv2Информация

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Класс: отказ в обслуживании
CWE: CWE-399 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Доступ: публичный
Статус: Доказательство концепции

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-DayРазблокироватьРазблокироватьРазблокироватьРазблокировать
СегодняРазблокироватьРазблокироватьРазблокироватьРазблокировать

Nessus ID: 63069
Nessus Имя: FreeBSD : chromium -- multiple vulnerabilities (4d64fc61-3878-11e2-a4eb-00262d5ed8ee)
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍

OpenVAS ID: 850379
OpenVAS Имя: SuSE Update for Chromium openSUSE-SU-2012:1637-1 (Chromium)
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍

Qualys ID: 🔍
Qualys Имя: 🔍

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Обновление
Статус: 🔍

Время реакции: 🔍
0-дневное время: 🔍
Время экспозиции: 🔍

Обновление: Chrome 23.0.1271.91
Патч: trac.webkit.org

ХронологияИнформация

24.09.2012 🔍
26.11.2012 +63 дни 🔍
26.11.2012 +0 дни 🔍
26.11.2012 +0 дни 🔍
26.11.2012 +0 дни 🔍
27.11.2012 +1 дни 🔍
27.11.2012 +0 дни 🔍
27.11.2012 +0 дни 🔍
27.11.2012 +0 дни 🔍
30.11.2012 +3 дни 🔍
19.12.2012 +19 дни 🔍
19.04.2021 +3043 дни 🔍

ИсточникиИнформация

Поставщик: google.com
Продукт: google.com

Консультация: 51437
Исследователь: Atte Kettunen (miaubiz)
Организация: Google Chrome Security Team
Статус: Подтверждённый
Подтверждение: 🔍
Скоординированный: 🔍

CVE: CVE-2012-5133 (🔍)
GCVE (CVE): GCVE-0-2012-5133
GCVE (VulDB): GCVE-100-7034

OVAL: 🔍

X-Force: 80291 - Google Chrome SVG filters code execution, High Risk
SecurityFocus: 56684 - Google Chrome Prior to 23.0.1271.91 Multiple Security Vulnerabilities
Secunia: 51437 - Google Chrome Multiple Vulnerabilities, Highly Critical
OSVDB: 87884
SecurityTracker: 1027815 - Google Chrome Multiple Flaws Let Remote Users Execute Arbitrary Code
Vulnerability Center: 37723 - Google Chrome <23.0.1271.91 Use-After-Free Vulnerability Allows Remote DoS Related to SVG Filters, Medium

Разное: 🔍
Смотрите также: 🔍

ВходИнформация

Создано: 30.11.2012 09:50
Обновлено: 19.04.2021 15:54
Изменения: 30.11.2012 09:50 (88), 22.04.2017 17:19 (11), 19.04.2021 15:54 (3)
Завершенный: 🔍
Коммиттер:
Cache ID: 216::103

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Обсуждение

Do you want to use VulDB in your project?

Use the official API to access entries easily!