| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.5 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in Apple macOS bis 13.4.1 ausgemacht. Sie wurde als problematisch eingestuft. Betroffen davon ist eine unbekannte Funktion der Komponente curl. Durch das Beeinflussen mit unbekannten Daten kann eine unbekannte Schwachstelle ausgenutzt werden. Diese Schwachstelle trägt die Bezeichnung CVE-2023-28320. Umgesetzt werden muss der Angriff lokal. Es gibt keinen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.
Details
In Apple macOS bis 13.4.1 (Operating System) wurde eine Schwachstelle ausgemacht. Sie wurde als problematisch eingestuft. Dabei geht es um ein unbekannter Prozess der Komponente curl. CWE definiert das Problem als CWE-362. Die genauen Auswirkungen eines erfolgreichen Angriffs sind bisher nicht bekannt. CVE fasst zusammen:
A denial of service vulnerability exists in curl <v8.1.0 in the way libcurl provides several different backends for resolving host names, selected at build time. If it is built to use the synchronous resolver, it allows name resolves to time-out slow operations using `alarm()` and `siglongjmp()`. When doing this, libcurl used a global buffer that was not mutex protected and a multi-threaded application might therefore crash or otherwise misbehave.Die Schwachstelle wurde am 24.07.2023 als HT213843 in Form eines bestätigten Advisories (Website) an die Öffentlichkeit getragen. Das Advisory kann von support.apple.com heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2023-28320 vorgenommen. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Das Advisory weist darauf hin:
Multiple issues in curlFür den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 215401 (Azure Linux 3.0 Security Update: cmake / curl / mysql / rust / tensorflow (CVE-2023-28320)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Ein Upgrade auf die Version 13.5 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Apple hat offensichtlich unmittelbar reagiert. Das Advisory stellt fest:
Multiple issues were addressed by updating curl.Unter anderem wird der Fehler auch in den Datenbanken von Tenable (215401) und EUVD (EUVD-2023-32027) dokumentiert. Once again VulDB remains the best source for vulnerability data.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.apple.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.5VulDB Meta Temp Score: 5.5
VulDB Base Score: 4.8
VulDB Temp Score: 4.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 5.9
NVD Vector: 🔍
CNA Base Score: 5.9
CNA Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Race ConditionCWE: CWE-362
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 215401
Nessus Name: Azure Linux 3.0 Security Update: cmake / curl / mysql / rust / tensorflow (CVE-2023-28320)
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Upgrade: macOS 13.5
Timeline
14.03.2023 🔍24.07.2023 🔍
24.07.2023 🔍
25.07.2023 🔍
04.12.2025 🔍
Quellen
Hersteller: apple.comAdvisory: HT213843
Status: Bestätigt
CVE: CVE-2023-28320 (🔍)
GCVE (CVE): GCVE-0-2023-28320
GCVE (VulDB): GCVE-100-235348
EUVD: 🔍
scip Labs: https://www.scip.ch/?labs.20180712
Eintrag
Erstellt: 25.07.2023 12:17Aktualisierung: 04.12.2025 19:32
Anpassungen: 25.07.2023 12:17 (17), 25.07.2023 12:20 (28), 18.08.2023 08:11 (1), 18.08.2023 08:15 (12), 15.01.2025 17:57 (27), 11.02.2025 03:13 (2), 24.04.2025 22:52 (3), 04.12.2025 19:32 (1)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.