Vulnerability ID 1449

Apple Mac OS X bis 10.4 Help Viewer Designfehler

Apple
CVSSv3 Temp ScoreAktueller Exploitpreis (≈)
6.0$0-$1k

Mac OS X ist ein relativ junges, kommerzielles, von der Firma Apple betreutes UNIX-Derivat. Es ist für Apple-Hardware verfügbar. Apple hat wie immer das reguläre Security Update herausgegeben. In der aktuellen Version 2005-005 wurden gleich 19 Sicherheitslücken im System behoben. Eine davon betrifft den Help Viewer. Bei diesem gelten nicht die regulären Restriktionen für JavaScript. Ein Angreifer kann dies nutzen, um erweiterte Rechte zu erlangen. Technische Details oder ein Exploit zur Schwachstelle sind nicht bekannt. Der Fehler wurde wie gesagt durch das Security Update 2005-005 behoben. The vulnerability is also documented in the databases at X-Force (20390), Secunia (SA15227) and Vulnerability Center (SBV-8422). Entries connected to this vulnerability are available at 1440, 1441, 1442 and 1443.

Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 115060 (Mac OS X 10.3.9 Update APPLE-SA-2005-05-03 Not Installed) zur Prüfung der Schwachstelle an.

Apple tut gut daran, sich in regelmässigen Abständen den jüngst in ihrem Betriebssystem bekannt gewordenen Sicherheitslücken anzunehmen. Denn davon gibt es wahrlich genug. Dass diese so umfassend bekannt sind und deshalb als überdurchschnittliche Vielzahl erscheinen, ist aber wohl eher der rigorosen Informationspolitik des Softwarekonzerns zuzuschreiben. Und dies, so hat uns die Vergangenheit eindeutig gelehrt, kommt längerfristig nur dem enutzer zugute. Das Einspielen des Patches ist aber nach wie vor ihm selbst überlassen und bei einer solchen Anzahl an Fehlern durchaus zu empfehlen.

CVSSv3

Base Score: ≈6.3 [?]
Temp Score: ≈6.0 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:X [?]
Zuverlässigkeit: Low

CVSSv2

Base Score: ≈6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
Temp Score: ≈5.2 (CVSS2#E:ND/RL:OF/RC:ND) [?]
Zuverlässigkeit: Low

CPE

Exploiting

Klasse: Designfehler
Auswirkungen: erweiterte Rechte erlangen
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $10k-$25k (0-day) / $0-$1k (Heute)

0-Day$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k
Heute$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k

Qualys ID: 115060
Qualys Name: Mac OS X 10.3.9 Update APPLE-SA-2005-05-03 Not Installed

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Patch: apple.com

Timeline

27.04.2005 CVE zugewiesen
04.05.2005 +7 Tage Advisory veröffentlicht
04.05.2005 +0 Tage VulnerabilityCenter Eintrag zugewiesen
24.05.2005 +20 Tage VulDB Eintrag erstellt
26.06.2005 +33 Tage VulnerabilityCenter Eintrag erstellt
02.06.2009 +1437 Tage VulnerabilityCenter Eintrag aktualisiert
07.07.2015 +2226 Tage VulDB Eintrag aktualisiert

Quellen

Advisory: docs.info.apple.com
Person: David Remahl

CVE: CVE-2005-1336 (mitre.org) (nvd.nist.org) (cvedetails.com)

Secunia: 15227 - Mac OS X Security Update Fixes Multiple Vulnerabilities, Highly Critical
X-Force: 20390
Vulnerability Center: 8422 - Code Execution in Mac OS X 10.3 - 10.3.9 and Mac OS X Server 10.3 - 10.3.9 via Foundation Framework, High

Siehe auch: 1440, 1441, 1442, 1443, 1444, 1445, 1446, 1447, 1448, 1450, 1451, 1452, 1453 , 1454

Eintrag

Erstellt: 24.05.2005
Aktualisierung: 07.07.2015
Eintrag: 81.8% komplett