Apple Mac OS X jusqu’à 10.8.3 XNU Kernel posix_spawn élévation de privilèges
| CVSS Score méta-temporaire | Prix actuel de l'exploit (≈) | Score d'intérêt CTI |
|---|---|---|
| 5.9 | $0-$5k | 0.00 |
Résumé
Une vulnérabilité a été trouvé dans Apple Mac OS X jusqu’à 10.8.3 et classée problématique. L'élément affecté est la fonction posix_spawn du composant XNU Kernel. La manipulation avec une valeur d'entrée inconnue mène à une vulnérabilité de classe élévation de privilèges.
Cette vulnérabilité a été nommée CVE-2013-3954. L'attaque doit être réalisée sur le système local. Il n'y a pas d'exploit disponible.
La meilleure solution suggérée pour atténuer le problème est de mettre à jour à la dernière version.
Détails
Une vulnérabilité qui a été classée problématique a été trouvée dans Apple Mac OS X jusqu’à 10.8.3 (Operating System). Ceci affecte la fonction posix_spawn du composant XNU Kernel. A cause de la manipulation avec une valeur d'entrée inconnue mène à une vulnérabilité de classe élévation de privilèges.
La vulnerabilité a été publié en 26/04/2013 par Stefan Esser avec SektionEins GmbH avec article (Website) (non défini). La notice d'information est disponible en téléchargement sur antid0te.com Le fabricant n'était pas impliqué dans la publication. Cette vulnérabilité est connue comme CVE-2013-3954. Un accés local est requis pour garantir le succés de l'attaque. Aucune forme d'authentification est requise pour l'exploitation. Les détails technniques sont connus, mais aucun exploite n'est disponible.
Le scanner de vulnérabilités Nessus propose un module ID 70257 (Apple TV < 6.0 Multiple Vulnerabilities), lequel aide à déterminer l'existence d'une faille dans l'environnement-cible.
Mettre à jour élimine cette vulnérabilité. Une solution envisageable a été publiée 6 mois après la publication de la vulnérabilité.
La vulnérabilité est aussi documentée dans les base de données Tenable (70257), SecurityFocus (BID 52107†), OSVDB (93964†) et Secunia (SA54886†). Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Produit
Taper
Fournisseur
Nom
Version
Licence
Support
Site web
- Fournisseur: https://www.apple.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vecteur: 🔍VulDB Fiabilité: 🔍
CVSSv3
VulDB Score méta-base: 6.2VulDB Score méta-temporaire: 5.9
VulDB Note de base: 6.2
VulDB Note temporaire: 5.9
VulDB Vecteur: 🔍
VulDB Fiabilité: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vecteur | Complexité | Authentification | Confidentialité | Intégrité | Disponibilité |
|---|---|---|---|---|---|
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
VulDB Note de base: 🔍
VulDB Note temporaire: 🔍
VulDB Fiabilité: 🔍
NVD Note de base: 🔍
Exploitation
Classe: élévation de privilègesCWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Physique: Partiellement
Local: Oui
Remote: Non
Disponibilité: 🔍
Statut: Non défini
EPSS Score: 🔍
EPSS Percentile: 🔍
Prédiction de prix: 🔍
Estimation actuelle des prix: 🔍
| 0-Day | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
|---|---|---|---|---|
| Aujourd'hui | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
Nessus ID: 70257
Nessus Nom: Apple TV < 6.0 Multiple Vulnerabilities
Nessus Fichier: 🔍
Nessus Risque: 🔍
Nessus Famille: 🔍
Nessus Context: 🔍
OpenVAS ID: 801105
OpenVAS Nom: Apple Mac OS X Multiple Vulnerabilities - 01 Jan14
OpenVAS Fichier: 🔍
OpenVAS Famille: 🔍
Renseignements sur les menaces
Intérêt: 🔍Acteurs actifs: 🔍
Groupes APT actifs: 🔍
Contre-mesures
Recommandé: Mise à niveauStatut: 🔍
Temps de réaction: 🔍
Heure 0 jour: 🔍
Temps d'exposition: 🔍
Chronologie
26/04/2013 🔍05/06/2013 🔍
05/06/2013 🔍
07/06/2013 🔍
19/09/2013 🔍
20/09/2013 🔍
01/10/2013 🔍
14/05/2021 🔍
Sources
Fournisseur: apple.comBulletin: antid0te.com
Chercheur: Stefan Esser
Organisation: SektionEins GmbH
Statut: Non défini
Confirmation: 🔍
CVE: CVE-2013-3954 (🔍)
GCVE (CVE): GCVE-0-2013-3954
GCVE (VulDB): GCVE-100-9019
SecurityFocus: 52107
Secunia: 54886 - Apple iOS Multiple Vulnerabilities, Highly Critical
OSVDB: 93964
SecurityTracker: 1029054
scip Labs: https://www.scip.ch/en/?labs.20150108
Voir aussi: 🔍
Entrée
Créé: 07/06/2013 18:07Mise à jour: 14/05/2021 13:11
Changements: 07/06/2013 18:07 (62), 12/04/2019 08:55 (14), 14/05/2021 13:11 (3)
Complet: 🔍
Committer:
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Aucun commentaire pour l'instant. Langues: fr + it + en.
Veuillez vous connecter pour commenter.