Apple iOS तक 8.1.2 TLS Export ssl3_get_key_exchange FREAK कमजोर एन्क्रिप्शन

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
6.2$0-$5k0.00

सारांशजानकारी

एक कमजोरि जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Apple iOS तक 8.1.2 में पाई गई है। प्रभावित होता है फ़ंक्शन ssl3_get_key_exchange घटक TLS Export Handler का। यह संशोधन कमजोर एन्क्रिप्शन (FREAK) का कारण बन सकता है। यह सुरक्षा कमजोरी CVE-2015-1067 के रूप में संदर्भित है। अतिरिक्त रूप से, एक एक्सप्लॉइट मौजूद है. इस भेद्यता का ऐतिहासिक महत्व है, जो इसकी पृष्ठभूमि और लोगों की प्रतिक्रिया के कारण है। प्रभावित कंपोनेंट को अपग्रेड करना उचित रहेगा।

विवरणजानकारी

एक कमजोरि जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Apple iOS तक 8.1.2 में पाई गई है। प्रभावित होता है फ़ंक्शन ssl3_get_key_exchange घटक TLS Export Handler का। यह संशोधन कमजोर एन्क्रिप्शन (FREAK) का कारण बन सकता है। CWE का उपयोग करके समस्या को घोषित करने से CWE-310 प्राप्त होता है। कमजोरी प्रकाशित की गई थी 04/03/2015 द्वारा Antoine Delignat-Lavaud के साथ Prosecco के रूप में HT204423 के रूप में सलाह (वेबसाइट). सलाह support.apple.com पर डाउनलोड हेतु साझा की गई है।

यह सुरक्षा कमजोरी CVE-2015-1067 के रूप में संदर्भित है। 16/01/2015 को CVE असाइन किया गया था. टेक्निकल डिटेल्स उपलब्ध हैं. इस भेद्यता की लोकप्रियता सामान्य स्तर से नीचे है। अतिरिक्त रूप से, एक एक्सप्लॉइट मौजूद है. इस एक्सप्लॉइट की जानकारी सार्वजनिक कर दी गई है और इसका इस्तेमाल किया जा सकता है। इस समय एक्सप्लॉइट का मौजूदा मूल्य करीब USD $0-$5k माना जा रहा है। MITRE ATT&CK परियोजना के अनुसार हमले की तकनीक T1600 है. इस भेद्यता का ऐतिहासिक महत्व है, जो इसकी पृष्ठभूमि और लोगों की प्रतिक्रिया के कारण है।

इसे उच्च कार्यात्मक के रूप में घोषित किया गया है। डाउनलोड हेतु यह एक्सप्लॉइट smacktls.com पर उपलब्ध है। 0-day के रूप में अनुमानित भूमिगत कीमत लगभग $25k-$100k थी। वल्नरेबिलिटी स्कैनर Nessus ID 81790 वाला एक प्लगइन प्रदान करता है (Apple TV < 7.1 Multiple Vulnerabilities (FREAK)), जो लक्ष्य वातावरण में खामी की उपस्थिति का पता लगाने में मदद करता है। इसे विविध परिवार में असाइन किया गया है। वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 123515 प्लगइन से कर सकता है (Apple Mac OS X v10.10.3 and Security Update 2015-004 Not Installed (APPLE-SA-2015-04-08-2)).

इस समस्या का समाधान 8.2 संस्करण में अपग्रेड करने से किया जा सकता है। प्रभावित कंपोनेंट को अपग्रेड करना उचित रहेगा। कमजोरी के उजागर होने के 6 दिन बाद एक संभावित निवारण उपाय जारी किया गया है।

कमजोरी अन्य कमजोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 73009), X-Force (101492), SecurityTracker (ID 1031829) , Tenable (81790).

उत्पादजानकारी

प्रकार

विक्रेता

नाम

संस्करण

लाइसेंस

वेबसाइट

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 6.5
VulDB मेटा अस्थायी स्कोर: 6.2

VulDB मूल स्कोर: 6.5
VulDB अस्थायी स्कोर: 6.2
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

नाम: FREAK
वर्ग: कमजोर एन्क्रिप्शन / FREAK
CWE: CWE-310
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ

उपलब्धता: 🔍
प्रवेश: सार्वजनिक
स्थिति: उच्च कार्यात्मक
डाउनलोड: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 81790
Nessus नाम: Apple TV < 7.1 Multiple Vulnerabilities (FREAK)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍

Qualys ID: 🔍
Qualys नाम: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: अपग्रेड
स्थिति: 🔍

प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍

अपग्रेड: iOS 8.2

समयरेखाजानकारी

16/01/2015 🔍
04/03/2015 +47 दिन 🔍
04/03/2015 +0 दिन 🔍
09/03/2015 +5 दिन 🔍
10/03/2015 +1 दिन 🔍
10/03/2015 +0 दिन 🔍
10/03/2015 +0 दिन 🔍
12/04/2022 +2590 दिन 🔍

स्रोतजानकारी

विक्रेता: apple.com

सलाह: HT204423
शोधकर्ता: Antoine Delignat-Lavaud
संगठन: Prosecco
स्थिति: पुष्टि की गई
पुष्टि: 🔍

CVE: CVE-2015-1067 (🔍)
GCVE (CVE): GCVE-0-2015-1067
GCVE (VulDB): GCVE-100-73927
X-Force: 101492 - Apple iOS SSL/TLS connections security bypass
SecurityFocus: 73009 - Apple iOS/Mac Os X/TV CVE-2015-1067 Man in the Middle Security Bypass Vulnerability
SecurityTracker: 1031829 - Apple iOS TLS Export Cipher Bug Lets Remote Users Downgrade Session Security

scip Labs: https://www.scip.ch/en/?labs.20150917
यह भी देखें: 🔍

प्रविष्टिजानकारी

बनाया गया: 10/03/2015 10:31 AM
अद्यतनित: 12/04/2022 05:55 PM
परिवर्तन: 10/03/2015 10:31 AM (72), 30/07/2017 11:46 AM (10), 12/04/2022 05:47 PM (3), 12/04/2022 05:55 PM (1)
पूर्ण: 🔍
Cache ID: 216::103

Be aware that VulDB is the high quality source for vulnerability data.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Do you need the next level of professionalism?

Upgrade your account now!