| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.3 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in Apple Mac OS X 10.9.2 gefunden. Sie wurde als problematisch eingestuft. Hiervon betroffen ist ein unbekannter Codeblock der Komponente Power Management. Durch Manipulation mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Diese Verwundbarkeit ist als CVE-2014-1321 gelistet. Es existiert kein Exploit. Es empfiehlt sich, einen Patch einzuspielen, um dieses Problem zu beheben.
Details
Eine problematische Schwachstelle wurde in Apple Mac OS X 10.9.2 (Operating System) gefunden. Dies betrifft eine unbekannte Verarbeitung der Komponente Power Management. Mit der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-264. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
Power Management in Apple OS X 10.9.x through 10.9.2 allows physically proximate attackers to bypass an intended transition into the locked-screen state by touching (1) a key or (2) the trackpad during a lid-close action.Die Schwachstelle wurde am 22.04.2014 durch Paul Kleeberg, Julian Sincu, Gerben Wierda und Daniel Luz von Opera als HT6207 in Form eines bestätigten Advisories (Website) herausgegeben. Bereitgestellt wird das Advisory unter support.apple.com. Eine Veröffentlichung wurde in Zusammenarbeit mit Apple angestrebt. Die Verwundbarkeit wird seit dem 08.01.2014 mit der eindeutigen Identifikation CVE-2014-1321 gehandelt. Die Ausnutzbarkeit gilt als schwierig. Umgesetzt werden muss der Angriff lokal. Das Ausnutzen erfordert keine spezifische Authentisierung. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1068 aus. Das Advisory weist darauf hin:
If a key was pressed or the trackpad touched just after the lid was closed, the system might have tried to wake up while going to sleep, which would have caused the screen to be unlocked.Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 73648 (Mac OS X Multiple Vulnerabilities (Security Update 2014-002)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family MacOS X Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 122028 (Apple Mac OS X Security Update 2014-002 Not Installed (HT6207)) zur Prüfung der Schwachstelle an.
Die Schwachstelle lässt sich durch das Einspielen des Patches Security Update 2014-002 lösen. Dieser kann von support.apple.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Apple hat so sofort gehandelt. Das Advisory stellt fest:
This issue was addressed by ignoring keypresses while going to sleep. This issue does not affect systems prior to OS X Mavericks.Unter anderem wird der Fehler auch in den Datenbanken von X-Force (92702), Tenable (73648), SecurityFocus (BID 67028†), SecurityTracker (ID 1030133†) und Vulnerability Center (SBV-44214†) dokumentiert. Die Einträge VDB-10903, VDB-13041, VDB-13040 und VDB-13039 sind sehr ähnlich. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Support
Webseite
- Hersteller: https://www.apple.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.9VulDB Meta Temp Score: 4.3
VulDB Base Score: 4.9
VulDB Temp Score: 4.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Nein
Verfügbarkeit: 🔍
Status: Unbewiesen
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 73648
Nessus Name: Mac OS X Multiple Vulnerabilities (Security Update 2014-002)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Patch: Security Update 2014-002
Timeline
08.01.2014 🔍22.04.2014 🔍
22.04.2014 🔍
22.04.2014 🔍
23.04.2014 🔍
23.04.2014 🔍
23.04.2014 🔍
23.04.2014 🔍
11.05.2026 🔍
Quellen
Hersteller: apple.comAdvisory: HT6207
Person: Paul Kleeberg, Julian Sincu, Gerben Wierda, Daniel Luz
Firma: Opera
Status: Bestätigt
Koordiniert: 🔍
CVE: CVE-2014-1321 (🔍)
GCVE (CVE): GCVE-0-2014-1321
GCVE (VulDB): GCVE-100-13037
IAVM: 🔍
X-Force: 92702 - Apple Mac OS X Power Management security bypass, Low Risk
SecurityFocus: 67028 - Apple Mac OS X CVE-2014-1321 Local Security Bypass Vulnerability
SecurityTracker: 1030133 - Apple OS X Multiple Bugs Let Remote Users Execute Arbitrary Code and Deny Service and Local Users Gain Elevated Privileges
Vulnerability Center: 44214 - Apple OS X 10.9.x - 10.9.2 Local Security Compromise due to Key Presses while Device Goes to Sleep, Low
scip Labs: https://www.scip.ch/?labs.20150108
Siehe auch: 🔍
Eintrag
Erstellt: 23.04.2014 12:25Aktualisierung: 11.05.2026 18:54
Anpassungen: 23.04.2014 12:25 (87), 17.06.2021 14:50 (3), 11.05.2026 18:54 (15)
Komplett: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.