VDB-94737 · CVE-2017-2368 · BID 95722

Apple iOS तक 10.2.1 b2 iMessage VCF Card Freeze अधिकार वृद्धि

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
6.2$0-$5k0.87

सारांशजानकारी

एक सुरक्षा कमजोरी, जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Apple iOS तक 10.2.1 b2 में पाई गई है। प्रभावित होता है कोई अज्ञात फ़ंक्शन घटक iMessage का। इसमें VCF Card के हिस्से के रूप में शामिल है, जिससे अधिकार वृद्धि (Freeze) उत्पन्न होती है। यह भेद्यता CVE-2017-2368 के रूप में व्यापार की जाती है। यह हमला दूर से किया जा सकता है। अतिरिक्त रूप से, एक एक्सप्लॉइट मौजूद है. सुझाए गए वर्कअराउंड को लागू करने की सिफारिश की जाती है।

विवरणजानकारी

एक सुरक्षा कमजोरी, जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Apple iOS तक 10.2.1 b2 में पाई गई है। प्रभावित होता है कोई अज्ञात फ़ंक्शन घटक iMessage का। इसमें VCF Card के हिस्से के रूप में शामिल है, जिससे अधिकार वृद्धि (Freeze) उत्पन्न होती है। CWE के माध्यम से समस्या घोषित करने पर CWE-20 मिलता है। इस बग की खोज 23/01/2017 को हुई थी. इस कमजोरी को प्रकाशित किया गया था 29/12/2016 द्वारा vincedes3 के रूप में Bug: crash Message application by MMS on iOS के रूप में Article (वेबसाइट). एडवाइजरी को vincedes3.com पर डाउनलोड के लिए उपलब्ध कराया गया है। विक्रेता के साथ समन्वय किए बिना सार्वजनिक रूप से जारी किया गया।

यह भेद्यता CVE-2017-2368 के रूप में व्यापार की जाती है। 01/12/2016 को CVE असाइन किया गया था. यह हमला दूर से किया जा सकता है। कोई टेक्निकल डिटेल्स उपलब्ध नहीं हैं. इस कमजोरी की लोकप्रियता सामान्य से ऊपर है। अतिरिक्त रूप से, एक एक्सप्लॉइट मौजूद है. यह एक्सप्लॉइट सार्वजनिक रूप से उजागर हो चुका है और इसका दुरुपयोग संभव है। वर्तमान में किसी एक्सप्लॉइट की कीमत लगभग USD $0-$5k हो सकती है।

यह अवधारणा प्रमाण के रूप में घोषित है। यह एक्सप्लॉइट vincedes3.com पर डाउनलोड के लिए साझा किया गया है। 0-day के तौर पर अनुमानित भूमिगत दाम लगभग $25k-$100k था।

सुझाए गए वर्कअराउंड को लागू करने की सिफारिश की जाती है।

यह कमज़ोरी अन्य कमज़ोरी डेटाबेस में भी उपलब्ध है: SecurityFocus (BID 95722).

उत्पादजानकारी

प्रकार

विक्रेता

नाम

संस्करण

लाइसेंस

वेबसाइट

CPE 2.3जानकारी

CPE 2.2जानकारी

वीडियो

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 6.5
VulDB मेटा अस्थायी स्कोर: 6.2

VulDB मूल स्कोर: 7.5
VulDB अस्थायी स्कोर: 6.9
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 5.5
NVD वेक्टर: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

नाम: Freeze
वर्ग: अधिकार वृद्धि / Freeze
CWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: आंशिक रूप से
स्थानीय: हाँ
दूरस्थ: हाँ

उपलब्धता: 🔍
प्रवेश: सार्वजनिक
स्थिति: अवधारणा प्रमाण
लेखक: vincedes3
प्रोग्रामिंग भाषा: 🔍
डाउनलोड: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: वैकल्पिक उपाय
स्थिति: 🔍

प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍
शोषण विलंब समय: 🔍

वैकल्पिक उपाय: vincedes3.com

समयरेखाजानकारी

01/12/2016 🔍
29/12/2016 +28 दिन 🔍
29/12/2016 +0 दिन 🔍
29/12/2016 +0 दिन 🔍
30/12/2016 +1 दिन 🔍
23/01/2017 +24 दिन 🔍
23/01/2017 +0 दिन 🔍
20/02/2017 +28 दिन 🔍
27/10/2022 +2075 दिन 🔍

स्रोतजानकारी

विक्रेता: apple.com

सलाह: Bug: crash Message application by MMS on iOS
शोधकर्ता: vincedes3
स्थिति: पुष्टि की गई
पुष्टि: 🔍

CVE: CVE-2017-2368 (🔍)
GCVE (CVE): GCVE-0-2017-2368
GCVE (VulDB): GCVE-100-94737
SecurityFocus: 95722 - Apple iOS APPLE-SA-2017-01-23-1 Denial of Service and Security Bypass Vulnerabilities
SecurityTracker: 1037668

scip Labs: https://www.scip.ch/en/?labs.20150917
यह भी देखें: 🔍

प्रविष्टिजानकारी

बनाया गया: 30/12/2016 06:03 PM
अद्यतनित: 27/10/2022 07:52 AM
परिवर्तन: 30/12/2016 06:03 PM (80), 19/08/2019 04:28 PM (4), 27/10/2022 07:52 AM (4)
पूर्ण: 🔍
Cache ID: 216::103

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Want to stay up to date on a daily basis?

Enable the mail alert feature now!