Symantec Encryption Desktop bis 10.3.2 auf Mac OS X erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.6 | $0-$5k | 0.00 |
In Symantec Encryption Desktop bis 10.3.2 auf Mac OS X wurde eine problematische Schwachstelle entdeckt. Hierbei betrifft es ein unbekannter Ablauf. Dank Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-264. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 20.06.2014 durch Aaron Sigel als SYM14-011 in Form eines bestätigten Advisories (Website) öffentlich gemacht. Bereitgestellt wird das Advisory unter symantec.com. Die Verwundbarkeit wird seit dem 09.05.2014 als CVE-2014-3431 geführt. Sie gilt als leicht auszunutzen. Der Angriff muss lokal angegangen werden. Um eine Ausnutzung durchzusetzen, muss eine einfache Authentisierung umgesetzt werden. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1068 aus.
Die Schwachstelle lässt sich durch das Einspielen des Patches 10.3.2 Maintenance Pack 2 lösen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Symantec hat demnach unmittelbar gehandelt.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (93915) dokumentiert.
Produkt
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 4.6
VulDB Base Score: 5.3
VulDB Temp Score: 4.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Ja
Remote: Nein
Verfügbarkeit: 🔍
Status: Unbewiesen
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Patch: 10.3.2 Maintenance Pack 2
Timeline
09.05.2014 🔍20.06.2014 🔍
20.06.2014 🔍
20.06.2014 🔍
20.06.2014 🔍
20.06.2014 🔍
21.06.2014 🔍
24.06.2014 🔍
28.07.2014 🔍
16.03.2015 🔍
30.07.2021 🔍
Quellen
Hersteller: symantec.comAdvisory: SYM14-011
Person: Aaron Sigel
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2014-3431 (🔍)
X-Force: 93915 - Symantec Encryption Desktop and PGP Desktop for OS X privilege escalation, Medium Risk
SecurityTracker: 1030454 - Symantec Encryption Desktop for OS X Installation File Permissions Flaw Lets Local Users Gain Elevated Privileges
Vulnerability Center: 45619 - Symantec PGP Desktop and Encryption Desktop Professional for OS X Local Privilege Escalation, Medium
SecurityFocus: 68077 - Symantec Encryption Desktop for OS X CVE-2014-3431 Insecure File Permissions Vulnerability
Secunia: 59421 - Symantec Encryption Desktop Professional Insecure Temporary Files Security Issue, Not Critical
OSVDB: 108300
Eintrag
Erstellt: 16.03.2015 13:43Aktualisierung: 30.07.2021 19:44
Anpassungen: 16.03.2015 13:43 (71), 03.06.2017 07:31 (5), 30.07.2021 19:44 (3)
Komplett: 🔍
Cache ID: 3:ED8:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.