Apple iOS bis 12.4.1 Siri Audio File Self erweiterte Rechte ⚔ [Infragegestellt]
In Apple iOS bis 12.4.1 wurde eine kritische Schwachstelle ausgemacht. Es geht um eine nicht näher bekannte Funktion der Komponente Siri. Durch Manipulation durch Audio File kann eine erweiterte Rechte-Schwachstelle (Self) ausgenutzt werden. CWE definiert das Problem als CWE-269. Die Schwäche wurde am 10.10.2019 von Marc Ruef durch scip AG als iPhone Siri Self-Reference Exploiting mittels Blog Post (Website) öffentlich gemacht. Bereitgestellt wird das Advisory unter scip.ch. Die Veröffentlichung geschah dabei in Koordination mit dem Hersteller. Die Verwundbarkeit wird als CVE-2019-25071 geführt. Der Angriff kann über das Netzwerk erfolgen. Es sind keine technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1068 aus. Er wird als proof-of-concept gehandelt. Der Download des Exploits kann von youtube.com geschehen. Mindestens 132 Tage galt die Schwachstelle als nicht öffentlicher Zero-Day. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $25k-$100k auf dem Schwarzmarkt. Zur Zeit ist nicht genau klar, ob diese Schwachstelle in der besagten Form wirklich existiert. Ein Aktualisieren auf die Version 13.0 vermag dieses Problem zu lösen. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle.
Zeitverlauf
55 weitere Einträge werden nicht mehr angezeigt