| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.7 | $0-$5k | 0.00 |
Zusammenfassung
Eine problematische Schwachstelle wurde in Apple macOS bis 10.15.7 gefunden. Betroffen davon ist eine unbekannte Funktion der Komponente Kernel. Durch das Beeinflussen mit unbekannten Daten kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird als CVE-2020-27950 geführt. Der Angriff hat dabei lokal zu erfolgen. Ausserdem ist ein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
In Apple macOS bis 10.15.7 (Operating System) wurde eine Schwachstelle ausgemacht. Sie wurde als problematisch eingestuft. Es geht um eine unbekannte Funktion der Komponente Kernel. Durch Manipulation mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-665. Dies wirkt sich aus auf die Vertraulichkeit. CVE fasst zusammen:
A memory initialization issue was addressed. This issue is fixed in macOS Big Sur 11.0.1, watchOS 7.1, iOS 12.4.9, watchOS 6.2.9, Security Update 2020-006 High Sierra, Security Update 2020-006 Mojave, iOS 14.2 and iPadOS 14.2, watchOS 5.3.9, macOS Catalina 10.15.7 Supplemental Update, macOS Catalina 10.15.7 Update. A malicious application may be able to disclose kernel memory.Die Schwachstelle wurde am 05.11.2020 von Google Project Zero als HT211947 in Form eines bestätigten Advisories (Website) an die Öffentlichkeit getragen. Auf support.apple.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2020-27950 vorgenommen. Sie gilt als leicht ausnutzbar. Die Umsetzung des Angriffs hat dabei lokal zu erfolgen. Es sind zwar keine technische Details, jedoch ein privater Exploit zur Schwachstelle bekannt. Das Advisory weist darauf hin:
A malicious application may be able to disclose kernel memory. Apple is aware of reports that an exploit for this issue exists in the wild.Er wird als attackiert gehandelt.
Ein Upgrade vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Apple hat folglich sofort reagiert. Das Advisory stellt fest:
A memory initialization issue was addressed.Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Zero-Day.cz (592) dokumentiert. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.apple.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.8VulDB Meta Temp Score: 4.7
VulDB Base Score: 3.3
VulDB Temp Score: 3.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 5.5
NVD Vector: 🔍
CNA Base Score: 5.5
CNA Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-665
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Ja
Verfügbarkeit: 🔍
Zugang: Privat
Status: Attackiert
EPSS Score: 🔍
EPSS Percentile: 🔍
KEV Hinzugefügt: 🔍
KEV Bis wann: 🔍
KEV Massnahmen: 🔍
KEV Ransomware: 🔍
KEV Hinweis: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Zero-Day.cz: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Timeline
27.10.2020 🔍05.11.2020 🔍
05.11.2020 🔍
06.11.2020 🔍
29.01.2025 🔍
Quellen
Hersteller: apple.comAdvisory: HT211947
Firma: Google Project Zero
Status: Bestätigt
CVE: CVE-2020-27950 (🔍)
GCVE (CVE): GCVE-0-2020-27950
GCVE (VulDB): GCVE-100-164410
scip Labs: https://www.scip.ch/?labs.20180712
Eintrag
Erstellt: 06.11.2020 09:02Aktualisierung: 29.01.2025 22:49
Anpassungen: 06.11.2020 09:02 (18), 06.11.2020 09:06 (30), 03.12.2020 07:43 (1), 21.04.2024 07:35 (23), 30.06.2024 22:36 (2), 09.09.2024 22:29 (1), 29.01.2025 22:49 (29)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.