VDB-155177 · CVE-2020-1037 · GCVE-0-2020-1037

Microsoft Edge/ChakraCore Chakra Scripting Engine 内存损坏

CVSS 元临时分数	当前攻击价格 (≈)	CTI兴趣分数
5.7	$5k-$25k	0.00

摘要信息

在Microsoft Edge and ChakraCore中曾发现一漏洞，此漏洞被分类为致命。受影响的是未知功能的组件:Chakra Scripting Engine。当被操控时，会导致内存损坏。此安全漏洞编号为CVE-2020-1037。攻击可能远程发起，没有可用的漏洞利用。建议通过打补丁来解决此问题。

在Microsoft Edge and ChakraCore中曾发现一漏洞，此漏洞被分类为致命。受影响的是未知功能的组件:Chakra Scripting Engine。当被操控时，会导致内存损坏。使用 CWE 声明该问题会导致 CWE-119。此安全漏洞在 2020-05-12 以Security Update Guide （网站）公开发布。索取公告的网址是portal.msrc.microsoft.com。此公开信息已与相关厂商协同。

此安全漏洞编号为CVE-2020-1037。攻击可能远程发起，暂无技术细节。该漏洞的普及率低于常规水平。没有可用的漏洞利用。目前漏洞的结构决定了可能的价格范围为美元价USD $5k-$25k。安全公告说明：

A remote code execution vulnerability exists in the way that the Chakra scripting engine handles objects in memory in Microsoft Edge (HTML-based). The vulnerability could corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user. An attacker who successfully exploited the vulnerability could gain the same user rights as the current user. If the current user is logged on with administrative user rights, an attacker who successfully exploited the vulnerability could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

若有长度，则其被标记为未定义。我们估计的零日攻击价值约为$25k-$100k。

建议通过打补丁来解决此问题。如果在漏洞披露后立即发布了可能的缓解措施。

产品信息

类型

Web Browser

供应商

Microsoft

名称

许可证

商业

网站

供应商: https://www.microsoft.com/

CPE 2.3信息

CPE 2.2信息

CVSSv4信息

VulDB 向量: 🔍
VulDB 可靠性: 🔍

CVSSv3信息

VulDB 元基础分数: 6.0
VulDB 元临时分数: 5.9

VulDB 基本分数: 6.3
VulDB 临时得分: 6.0
VulDB 向量: 🔍
VulDB 可靠性: 🔍

供应商基本分数 (Microsoft): 4.2
供应商 Vector (Microsoft): 🔍

NVD 基本分数: 7.5
NVD 向量: 🔍