| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 3.7 | $0-$5k | 0.00 |
Zusammenfassung
In Apple iOS 7 wurde eine problematische Schwachstelle entdeckt. Betroffen ist eine unbekannte Verarbeitung der Komponente Find My iPhone. Durch die Manipulation mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird als CVE-2014-2019 geführt. Ausserdem ist ein Exploit verfügbar. Es wird empfohlen, zusätzliche Authentifizierung hinzuzufügen.
Details
Es wurde eine problematische Schwachstelle in Apple iOS 7 (Smartphone Operating System) ausgemacht. Es betrifft eine unbekannte Funktion der Komponente Find My iPhone. Dank der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-264 vorgenommen. Dies wirkt sich aus auf Vertraulichkeit und Integrität. CVE fasst zusammen:
The iCloud subsystem in Apple iOS before 7.1 allows physically proximate attackers to bypass an intended password requirement, and turn off the Find My iPhone service or complete a Delete Account action and then associate this service with a different Apple ID account, by entering an arbitrary iCloud Account Password value and a blank iCloud Account Description value.Die Schwachstelle wurde am 05.02.2014 durch Bradley Williams (bwilliams210) als Security flaw in Find My iPhone iCloud Lock BYPASS in Form eines bestätigten Videos (Youtube) publik gemacht. Auf youtu.be kann das Advisory eingesehen werden. Die Veröffentlichung geschah dabei ohne Koordination mit dem Hersteller. Die Verwundbarkeit wird seit dem 18.02.2014 unter CVE-2014-2019 geführt. Die Schwachstelle ist relativ beliebt, und dies trotz ihrer hohen Komplexität. Der Angriff hat dabei lokal zu erfolgen. Das Angehen einer einfachen Authentisierung ist erforderlich, um eine Ausnutzung anzugehen. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. MITRE ATT&CK führt die Angriffstechnik T1068 für diese Schwachstelle.
Ein öffentlicher Exploit wurde durch Bradley Williams (bwilliams210) entwickelt und sofort nach dem Advisory veröffentlicht. Der Exploit wird unter youtu.be zur Verfügung gestellt. Er wird als proof-of-concept gehandelt. Als 0-Day erzielte der Exploit wohl etwa $25k-$100k auf dem Schwarzmarkt. Die Mac & i-Redaktion konnte das Problem auf einem iPhone 5 und 5s mit iOS 7.0.4 / 7.0.5 nachstellen.
Das Problem kann durch die Einführung vonPasscode/Touch ID als Authentisierung adressiert werden. Verschiedene Quellen berichten, dass das Problem in iOS 7.1 Beta 5 behoben wurde.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (94031), SecurityFocus (BID 65652†) und Vulnerability Center (SBV-47591†) dokumentiert. Ein Bericht in deutscher Sprache wird unter anderem durch Heise bereitgestellt. Weitere Informationen werden unter macrumors.com bereitgestellt. Schwachstellen ähnlicher Art sind dokumentiert unter VDB-5639, VDB-9023, VDB-11525 und VDB-11527. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.apple.com/
CPE 2.3
CPE 2.2
Video
Youtube: Nicht mehr verfügbarCVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.1VulDB Meta Temp Score: 3.9
VulDB Base Score: 3.6
VulDB Temp Score: 3.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 4.6
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Ja
Lokal: Ja
Remote: Nein
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Autor: Bradley Williams (bwilliams210)
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: AuthentisierungStatus: 🔍
0-Day Time: 🔍
Exploit Delay Time: 🔍
Timeline
05.02.2014 🔍05.02.2014 🔍
07.02.2014 🔍
07.02.2014 🔍
07.02.2014 🔍
18.02.2014 🔍
18.02.2014 🔍
14.12.2014 🔍
09.06.2021 🔍
Quellen
Hersteller: apple.comAdvisory: Security flaw in Find My iPhone iCloud Lock BYPASS
Person: Bradley Williams (bwilliams210)
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2014-2019 (🔍)
GCVE (CVE): GCVE-0-2014-2019
GCVE (VulDB): GCVE-100-12210
X-Force: 94031 - Apple iOS iCloud subsystem security bypass, Medium Risk
SecurityFocus: 65652 - Apple iOS CVE-2014-2019 Local Security Bypass Vulnerability
Vulnerability Center: 47591 - Apple iOS <7.1 Local Security Bypass in the iCloud Subsystem, Medium
Heise: 2108078
scip Labs: https://www.scip.ch/?labs.20150917
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 07.02.2014 15:31Aktualisierung: 09.06.2021 07:35
Anpassungen: 07.02.2014 15:31 (82), 15.06.2017 11:26 (2), 09.06.2021 07:35 (13)
Komplett: 🔍
Cache ID: 216:4B1:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.