Apple Mac OS X bis 10.4 Mail bis 2.0 Mailkonto-Wizard fehlende Verschlüsselung
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.4 | $0-$5k | 0.00 |
Mac OS X ist ein relativ junges, kommerzielles, von der Firma Apple betreutes UNIX-Derivat. Es basiert auf OpenBSD und ist für Apple-Hardware verfügbar. Markus Wörle entdeckte einen Designfehler in Apple Mac OS X bis 10.4 Mail bis 2.0. Wird dort mit dem Mail Account Wizard ein neues Konto erstellt, werden die Kontodaten trotz selektierte Verschlüsselung (z.B. IMAP over SSL) bei der ersten Kontaktaufnahme im Klartext übertragen. Ein Angreifer könnte sich diesen Umstand zunutze machen, um in den Besitz der sensitiven Kontoinformationen zu kommen. Als Workaround wird empfohlen, bei der Wizard-Nutzung als erstes fehlerhafte Kontodaten zu spezifizieren und diese im Nachhinein anzupassen. Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (20670) dokumentiert.
Man kommt fast nicht umher, Apple nach einem solchen Patzer Inkompetenz vorzuwerfen. Eine ausgiebige Testreihe der herauszugebenden Software scheint erforderlich, denn so hätten frühzeitig entsprechende Komplikationen entdeckt und gehandelt werden können.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Support
- end of life
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 8.2VulDB Meta Temp Score: 7.4
VulDB Base Score: 8.2
VulDB Temp Score: 7.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Schwache VerschlüsselungCWE: CWE-312 / CWE-310
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Patch: apple.com
Timeline
01.05.2005 🔍04.05.2005 🔍
09.05.2005 🔍
10.05.2005 🔍
10.05.2005 🔍
11.05.2005 🔍
11.05.2005 🔍
30.05.2005 🔍
07.06.2017 🔍
Quellen
Hersteller: apple.comAdvisory: marc.theaimsgroup.com
Person: Markus Wörle
Status: Nicht definiert
CVE: CVE-2005-1505 (🔍)
X-Force: 20670 - Apple Mac OS Mail.app account wizard plaintext password, Medium Risk
SecurityTracker: 1013915 - Apple Mail New Account Wizard May Disclose Passwords Via the Network
Secunia: 15301 - Mac OS X Mail Account Wizard Exposure of User Credentials, Not Critical
OSVDB: 16255 - Apple Mac OS X Mail Account Wizard Login Credential Disclosure
scip Labs: https://www.scip.ch/?labs.20150108
Eintrag
Erstellt: 30.05.2005 11:49Aktualisierung: 07.06.2017 16:01
Anpassungen: 30.05.2005 11:49 (75), 07.06.2017 16:01 (2)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.