Apple iOS/iPadOS bis 13.4.1 AirDrop erweiterte Rechte

EintraganpassenHistoryDiffjsonxmlCTI
CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
6.1$5k-$25k0.00

Es wurde eine problematische Schwachstelle in Apple iOS sowie iPadOS bis 13.4.1 (Smartphone Operating System) gefunden. Betroffen hiervon ist ein unbekannter Ablauf der Komponente AirDrop. Dank Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-20 vorgenommen. Die Auswirkungen sind bekannt für die Verfügbarkeit.

Die Schwachstelle wurde am 20.05.2020 durch Dor Hadad von Palo Alto Networks als HT211168 in Form eines bestätigten Advisories (Website) publiziert. Das Advisory findet sich auf support.apple.com. Die Identifikation der Schwachstelle wird seit dem 02.03.2020 mit CVE-2020-9826 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Die Beschaffenheit der Schwachstelle lässt vermuten, dass ein Exploit momentan zu etwa USD $5k-$25k gehandelt werden wird (Preisberechnung vom 20.10.2020). Es kann davon ausgegangen werden, dass sich die Exploit-Preise für dieses Produkt in Zukunft steigend verhalten werden. Das Advisory weist darauf hin:

A denial of service issue was addressed with improved input validation.

Ein Aktualisieren auf die Version 13.5 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Apple hat nachweislich unmittelbar gehandelt.

Von weiterem Interesse können die folgenden Einträge sein: 155738, 155740, 155741 und 155742.

Produktinfoanpassen

Typ

Hersteller

Name

CPE 2.3infoanpassen

CPE 2.2infoanpassen

CVSSv3infoanpassen

VulDB Meta Base Score: 6.4
VulDB Meta Temp Score: 6.3

VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 7.5
NVD Vector: 🔍

CVSSv2infoanpassen

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfoanpassen

Klasse: Erweiterte Rechte
CWE: CWE-20
ATT&CK: Unbekannt

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfoanpassen

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfoanpassen

Empfehlung: Upgrade
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍

Upgrade: iOS/iPadOS 13.5

Timelineinfoanpassen

02.03.2020 🔍
20.05.2020 +79 Tage 🔍
20.05.2020 +0 Tage 🔍
29.05.2020 +9 Tage 🔍
20.10.2020 +144 Tage 🔍

Quelleninfoanpassen

Hersteller: https://www.apple.com/

Advisory: HT211168
Person: Dor Hadad
Firma: Palo Alto Networks
Status: Bestätigt

CVE: CVE-2020-9826 (🔍)
scip Labs: https://www.scip.ch/?labs.20150917
Siehe auch: 🔍

Eintraginfoanpassen

Erstellt: 30.05.2020 00:38
Aktualisierung: 20.10.2020 06:50
Anpassungen: (1) source_cve_assigned
Komplett: 🔍

Kommentare

Bisher keine Kommentare. Sprachen: . Bitte loggen Sie sich ein, um kommentieren zu können.

Might our Artificial Intelligence support you?

Check our Alexa App!