Apple iOS/iPadOS bis 13.5.0 Kernel Application Denial of Service
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 8.1 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine kritische Schwachstelle in Apple iOS and iPadOS bis 13.5.0 entdeckt. Hierbei betrifft es unbekannten Programmcode der Komponente Kernel. Durch Manipulation durch Application kann eine Denial of Service-Schwachstelle ausgenutzt werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2020-9859 vorgenommen. Der Angriff muss lokal angegangen werden. Zusätzlich gibt es einen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.
Details
Es wurde eine kritische Schwachstelle in Apple iOS sowie iPadOS bis 13.5.0 (Smartphone Operating System) gefunden. Dabei betrifft es ein unbekannter Codeteil der Komponente Kernel. Durch Beeinflussen durch Application kann eine Denial of Service-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-400 vorgenommen. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
A memory consumption issue was addressed with improved memory handling. This issue is fixed in iOS 13.5.1 and iPadOS 13.5.1, macOS Catalina 10.15.5 Supplemental Update, tvOS 13.4.6, watchOS 6.2.6. An application may be able to execute arbitrary code with kernel privileges.Die Schwachstelle wurde am 01.06.2020 durch unc0ver als HT211214 in Form eines bestätigten Advisories (Website) publiziert. Das Advisory findet sich auf support.apple.com. Die Identifikation der Schwachstelle wird seit dem 02.03.2020 mit CVE-2020-9859 vorgenommen. Der Angriff muss lokal erfolgen. Das Ausnutzen erfordert eine einfache Authentisierung. Es sind zwar keine technische Details, jedoch ein Exploit zur Schwachstelle bekannt.
Er wird als attackiert gehandelt.
Ein Aktualisieren auf die Version 13.5.1 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Apple hat nachweislich unmittelbar gehandelt.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von EUVD (EUVD-2020-30638) dokumentiert. Die Schwachstellen VDB-156244, VDB-156245 und VDB-156246 sind ähnlich. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.apple.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 8.1VulDB Meta Temp Score: 8.0
VulDB Base Score: 8.8
VulDB Temp Score: 8.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 7.8
NVD Vector: 🔍
CNA Base Score: 7.8
CNA Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-400 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Nein
Verfügbarkeit: 🔍
Status: Attackiert
EPSS Score: 🔍
EPSS Percentile: 🔍
KEV Hinzugefügt: 🔍
KEV Bis wann: 🔍
KEV Massnahmen: 🔍
KEV Ransomware: 🔍
KEV Hinweis: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Upgrade: iOS/iPadOS 13.5.1
Timeline
02.03.2020 🔍01.06.2020 🔍
01.06.2020 🔍
06.06.2020 🔍
29.07.2025 🔍
Quellen
Hersteller: apple.comAdvisory: HT211214
Person: unc0ver
Status: Bestätigt
CVE: CVE-2020-9859 (🔍)
GCVE (CVE): GCVE-0-2020-9859
GCVE (VulDB): GCVE-100-156243
EUVD: 🔍
scip Labs: https://www.scip.ch/?labs.20150917
Siehe auch: 🔍
Eintrag
Erstellt: 06.06.2020 09:18Aktualisierung: 29.07.2025 04:38
Anpassungen: 06.06.2020 09:18 (46), 06.06.2020 09:22 (18), 20.04.2024 11:02 (28), 10.09.2024 22:45 (2), 29.01.2025 20:46 (19), 29.07.2025 04:38 (1)
Komplett: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.