VDB-10458 · OSVDB 97533 · GCVE-100-10458

Apple iOS 7.0 Lockscreen Multi-Tasking تجاوز الصلاحيات

CVSS الدرجة المؤقتة للميتاسعر الإكسبلويت الحالي (≈)درجة اهتمام CTI
3.9$0-$5k0.00

الملخصالمعلومات

تم أكتشاف ثغرة أمنية في Apple iOS 7.0. وقد تم تصنيفها على أنها خطيرة. الثغرة الأمنية متواجدة في دالة غير معروفة من العنصر Lockscreen. ينتج عن التلاعب ضمن Multi-Tasking حدوث تجاوز الصلاحيات. أيضًا، هناك استغلال متوفر. لهذه الثغرة تأثير تاريخي بسبب خلفيتها واستقبالها. يُفضل تغيير إعدادات التهيئة.

التفاصيلالمعلومات

تم أكتشاف ثغرة أمنية في Apple iOS 7.0. وقد تم تصنيفها على أنها خطيرة. الثغرة الأمنية متواجدة في دالة غير معروفة من العنصر Lockscreen. ينتج عن التلاعب ضمن Multi-Tasking حدوث تجاوز الصلاحيات. تعريف الـ سي دبليو أي للثغرة الأمنية هو CWE-358. تم الإعلان عن الثغرة 19/09/2013 من قبل Jose Rodriguez تحت iOS 7 Bug Lets Anyone Bypass iPhone's Lockscreen To Hijack Photos, Email, Or Twitter كنوع Article (موقع إلكتروني). يمكن عرض الاستشارة من هنا forbes.com. حدث الإفصاح العلني بدون تنسيق مع المورد.

لا يوجد شرح تقني متاح. مستوى شهرة هذه الثغرة يتجاوز المتوسط. أيضًا، هناك استغلال متوفر. تم إتاحة الاستغلال للجمهور وقد يتم استغلاله. يعلن مشروع MITRE ATT&CK عن تقنية الهجوم كـ T1211. لهذه الثغرة تأثير تاريخي بسبب خلفيتها واستقبالها. وقد صرح الاستشاري بأن:

As the video shows, anyone can exploit the bug by swiping up on the lockscreen to access the phone’s “control center,” and then opening the alarm clock. Holding the phone’s sleep button brings up the option to power it off with a swipe. Instead, the intruder can tap “cancel” and double click the home button to enter the phone’s multitasking screen. That offers access to its camera and stored photos, along with the ability to share those photos from the user’s accounts, essentially allowing anyone who grabs the phone to hijack the user’s email, Twitter, Facebook FB or Flickr account.

في حال وجود فعالة للغاية، يتم الإعلان عنه كـ فعالة للغاية. تستطيع تحميل الإكسبلويت من هنا forbes.com. كسعر لثغرة يوم الصفر، قُدّر السعر في السوق السوداء بحوالي $100k أو أكثر.

يمكن التخفيف من المشكلة عن طريق تطبيق إعداد التكوين Settings / Control Center / Access on Lock Screen / Off إذا كان متوفراً. يُفضل تغيير إعدادات التهيئة. يحتوي التنبيه على الملاحظة التالية:

A spokesperson from Apple tells me that the company “takes security very seriously and we’re aware of this issue. We’ll deliver a fix in a future software update.

منتجالمعلومات

النوع

المجهز

الأسم

النسخة

الرخصة

موقع إلكتروني

CPE 2.3المعلومات

CPE 2.2المعلومات

فيديو

افتح الفيديو | عرض المزيد من الفيديوهات

CVSSv4المعلومات

VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv3المعلومات

VulDB الدرجة الأساسية للميتا: 4.0
VulDB الدرجة المؤقتة للميتا: 3.9

VulDB الدرجة الأساسية: 4.0
VulDB الدرجة المؤقتة: 3.9
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍

CVSSv2المعلومات

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
متجهالتعقيدتوثيقالسريةالأمانةالتوفر
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح
افتحافتحافتحافتحافتحافتح

VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍

استغلالالمعلومات

الفئة: تجاوز الصلاحيات
CWE: CWE-358
CAPEC: 🔍
ATT&CK: 🔍

ملموس: جزئي
محلي: نعم
عن بُعد: لا

التوفر: 🔍
وصول: عام
الحالة: فعالة للغاية
المؤلف: Jose Rodriguez
الاعتمادية: 🔍
تحميل: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍

0-Dayافتحافتحافتحافتح
اليومافتحافتحافتحافتح

استخبارات التهديدالمعلومات

الاهتمام: 🔍
الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍

إجراءات مضادةالمعلومات

التوصية: Config
الحالة: 🔍
الاعتمادية: 🔍

زمن الهجوم الفوري: 🔍
وقت تأخير الاستغلال: 🔍

Config: Settings / Control Center / Access on Lock Screen / Off

الجدول الزمنيالمعلومات

19/09/2013 🔍
19/09/2013 +0 أيام 🔍
24/09/2013 +5 أيام 🔍
24/03/2019 +2007 أيام 🔍

المصادرالمعلومات

المجهز: apple.com

استشارة: iOS 7 Bug Lets Anyone Bypass iPhone's Lockscreen To Hijack Photos, Email, Or Twitter
باحث: Jose Rodriguez
الحالة: مؤكد

GCVE (VulDB): GCVE-100-10458
OSVDB: 97533

scip Labs: https://www.scip.ch/en/?labs.20150917
متفرقات: 🔍

إدخالالمعلومات

تم الإنشاء: 24/09/2013 04:17 PM
تم التحديث: 24/03/2019 03:33 PM
التغييرات: 24/09/2013 04:17 PM (59), 24/03/2019 03:33 PM (2)
كامل: 🔍
المتعهد:
Cache ID: 216::103

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مناقشة

لا توجد تعليقات بعد اللغات: ar + fa + en.

يرجى تسجيل الدخول حتى تتمكن من التعليق

التالي نظرة عامة السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!