BDU:2020-01508

Опубликовано: 18 дек. 2019

Источник: fstec

CVSS3: 8.8

CVSS2: 9.3

EPSS Низкий

Описание

Уязвимость модуля отображения WebKit операционных систем openSUSE Leap, Mac OS X, iOS, tvOS, браузера Safari, мультимедийного проигрывателя iTunes и сервиса iCloud вызвана выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Сообщество свободного программного обеспечения

Novell Inc.

Apple Inc.

Наименование ПО

Debian GNU/Linux

Suse Linux Enterprise Desktop

SUSE Enterprise Storage

SUSE Linux Enterprise Server for SAP Applications

SUSE Linux Enterprise Software Development Kit

SUSE Linux Enterprise Workstation Extension

SUSE OpenStack Cloud

SUSE Linux Enterprise Module for Open Buildservice Development Tools

Suse Linux Enterprise Server

SUSE Linux Enterprise Module for Basesystem

OpenSUSE Leap

SUSE Linux Enterprise Module for Desktop Applications

SUSE Linux Enterprise Point of Sale

HPE Helion Openstack

iOS

Mac OS

tvOS

Safari

iTunes

iCloud

WPE WebKit

WebKitGTK

Версия ПО

9 (Debian GNU/Linux)

12 SP4 (Suse Linux Enterprise Desktop)

4 (SUSE Enterprise Storage)

12 SP2 (SUSE Linux Enterprise Server for SAP Applications)

12 SP2-BCL (SUSE Linux Enterprise Server for SAP Applications)

12 SP2-ESPOS (SUSE Linux Enterprise Server for SAP Applications)

12 SP2-LTSS (SUSE Linux Enterprise Server for SAP Applications)

12 SP3 (SUSE Linux Enterprise Server for SAP Applications)

12 SP4 (SUSE Linux Enterprise Server for SAP Applications)

12 SP4 (SUSE Linux Enterprise Software Development Kit)

12 SP4 (SUSE Linux Enterprise Workstation Extension)

7 (SUSE OpenStack Cloud)

8.0 (Debian GNU/Linux)

15 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)

12 SP3 (Suse Linux Enterprise Server)

12 SP4 (Suse Linux Enterprise Server)

15 (SUSE Linux Enterprise Module for Basesystem)

15 SP1 (SUSE Linux Enterprise Module for Basesystem)

15.0 (OpenSUSE Leap)

5 (SUSE Enterprise Storage)

15 (SUSE Linux Enterprise Module for Desktop Applications)

12 SP2-CLIENT (SUSE Linux Enterprise Point of Sale)

15 SP1 (SUSE Linux Enterprise Module for Desktop Applications)

12 SP2-BCL (Suse Linux Enterprise Server)

12 SP2-ESPOS (Suse Linux Enterprise Server)

15 SP1 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)

15.1 (OpenSUSE Leap)

12 SP2-LTSS (Suse Linux Enterprise Server)

12 SP3-LTSS (Suse Linux Enterprise Server)

8 (SUSE OpenStack Cloud)

12 SP3-BCL (Suse Linux Enterprise Server)

12 SP5 (Suse Linux Enterprise Server)

12 SP3-BCL (SUSE Linux Enterprise Server for SAP Applications)

12 SP3-LTSS (SUSE Linux Enterprise Server for SAP Applications)

12 SP5 (SUSE Linux Enterprise Server for SAP Applications)

12 SP5 (SUSE Linux Enterprise Software Development Kit)

Crowbar 8 (SUSE OpenStack Cloud)

10 (Debian GNU/Linux)

8 (HPE Helion Openstack)

12 SP3-ESPOS (Suse Linux Enterprise Server)

12 SP3-ESPOS (SUSE Linux Enterprise Server for SAP Applications)

до 12.4 (iOS)

Mojave до 10.14.6 (Mac OS)

до 12.4 (tvOS)

до 12.1.2 (Safari)

до 12.9.6 (iTunes)

до 7.13 (iCloud)

до 10.6 (iCloud)

до 2.24.3 (WPE WebKit)

до 2.24.3 (WebKitGTK)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Сетевое программное средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9

Сообщество свободного программного обеспечения Debian GNU/Linux 8.0

Novell Inc. OpenSUSE Leap 15.0

Novell Inc. OpenSUSE Leap 15.1

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Apple Inc. iOS до 12.4

Apple Inc. Mac OS Mojave до 10.14.6

Apple Inc. tvOS до 12.4

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для WebKitGTK и WPE WebKit:

https://webkitgtk.org/security/WSA-2019-0004.html

Для программных средств и операционных систем Apple:

https://support.apple.com/HT210346

https://support.apple.com/HT210348

https://support.apple.com/HT210351

https://support.apple.com/HT210355

https://support.apple.com/HT210356

https://support.apple.com/HT210357

https://support.apple.com/HT210358

Для Debian GNU/Linux:

https://www.debian.org/security/2019/dsa-4515

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2019-8666/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2019-8666
CVE

EPSS

Процентиль: 73%

0.00811

Низкий

8.8 High

CVSS3

9.3 Critical

CVSS2

Связанные уязвимости

CVE-2019-8666

CVSS3: 8.8

ubuntu

больше 5 лет назад

Multiple memory corruption issues were addressed with improved memory handling. This issue is fixed in iOS 12.4, macOS Mojave 10.14.6, tvOS 12.4, Safari 12.1.2, iTunes for Windows 12.9.6, iCloud for Windows 7.13, iCloud for Windows 10.6. Processing maliciously crafted web content may lead to arbitrary code execution.

CVE-2019-8666

CVSS3: 8.8

redhat

почти 6 лет назад

CVE-2019-8666

CVSS3: 8.8

nvd

больше 5 лет назад

CVE-2019-8666

CVSS3: 8.8

debian

больше 5 лет назад

Multiple memory corruption issues were addressed with improved memory ...

GHSA-35q5-r29v-56m2

github

около 3 лет назад

EPSS

Процентиль: 73%

0.00811

Низкий

8.8 High

CVSS3

9.3 Critical

CVSS2