Apple Mac OS X bis 10.7.1 erweiterte Rechte

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
7.0$0-$5k0.00

In Apple Mac OS X bis 10.7.1 (Operating System) wurde eine kritische Schwachstelle entdeckt. Es geht um unbekannter Code. Durch die Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-264. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

QuickTime in Apple Mac OS X before 10.7.3 does not prevent access to uninitialized memory locations, which allows remote attackers to execute arbitrary code or cause a denial of service (application crash) via a crafted MP4 file.

Die Schwachstelle wurde am 02.02.2012 durch Luigi Auriemma von Zero Day Initiative als HT5261 in Form eines bestätigten Advisories (Website) öffentlich gemacht. Bereitgestellt wird das Advisory unter support.apple.com. Die Verwundbarkeit wird seit dem 13.09.2011 als CVE-2011-3458 geführt. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1068 aus.

Für den Vulnerability Scanner Nessus wurde am 16.05.2012 ein Plugin mit der ID 59113 (QuickTime < 7.7.2 Multiple Vulnerabilities (Windows)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 120221 (Apple QuickTime Prior to 7.7.2 Multiple Vulnerabilities (APPLE-SA-2012-05-15-1)) zur Prüfung der Schwachstelle an.

Ein Aktualisieren auf die Version 10.7.2 vermag dieses Problem zu lösen.

Unter anderem wird der Fehler auch in den Datenbanken von X-Force (72898) und Tenable (59113) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter 5399, 5404, 5408 und 5409.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

Support

  • end of life

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 7.3
VulDB Meta Temp Score: 7.0

VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Proof-of-Concept
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 59113
Nessus Name: QuickTime < 7.7.2 Multiple Vulnerabilities (Windows)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍

OpenVAS ID: 802795
OpenVAS Name: Apple QuickTime Multiple Vulnerabilities - (Windows)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Exploit-DB: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: Mac OS X 10.7.2

Timelineinfo

13.09.2011 🔍
02.02.2012 +142 Tage 🔍
02.02.2012 +0 Tage 🔍
02.02.2012 +0 Tage 🔍
03.04.2012 +61 Tage 🔍
09.05.2012 +36 Tage 🔍
16.05.2012 +7 Tage 🔍
23.03.2015 +1041 Tage 🔍
29.11.2021 +2443 Tage 🔍

Quelleninfo

Hersteller: apple.com

Advisory: HT5261
Person: Luigi Auriemma
Firma: Zero Day Initiative
Status: Bestätigt
Bestätigung: 🔍

CVE: CVE-2011-3458 (🔍)
X-Force: 72898
Vulnerability Center: 34803 - Apple Mac OS X Before 10.7.3 QuickTime Flaw Allows Remote DoS via a Crafted MP4 File, Medium
SecurityFocus: 53465 - Apple Mac OS X QuickTime CVE-2012-0658 Movie File Handling Buffer Overflow Vulnerability

scip Labs: https://www.scip.ch/?labs.20150108
Siehe auch: 🔍

Eintraginfo

Erstellt: 23.03.2015 16:50
Aktualisierung: 29.11.2021 11:20
Anpassungen: 23.03.2015 16:50 (64), 10.04.2017 18:05 (12), 29.11.2021 11:20 (4)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Want to stay up to date on a daily basis?

Enable the mail alert feature now!