Vulnerabilità ID 5873

Apple Xcode fino 4.3.3 Designated Requirement information disclosure

Apple
CVSSv3 Temp ScoreExploit Prezzo Attuale (≈)
5.1$0-$1k

In Apple Xcode è stata rilevato un punto critico di livello problematico. Interessato da questa vulnerabilità è una funzione sconosciuta del componente Designated Requirement. Per causa della manipolazione di un input sconosciuto conseguenza di una vulerabilità di classe information disclosure. Questo ha effetto su la riservatezza.

La vulnerabilità è stata pubblicata in data 25/07/2012 con identificazione HT5416 con un knowledge base article (Apple Security Announce) (confermato). L'advisory è scaricabile da support.apple.com. CVE-2012-3698 è identificato come punto debole. Lo sfruttamento è riconosciuto come facile. L'attacco può essere lanciato da remoto. Nessuna autentificazione è richiesta per l'uso. Dettagli tecnici e metodo d'utilizzo , non sono a disposizione.

Un plugin è disponibile per lo scanner Nessus, numero ID 61413 (Apple Xcode < 4.4 Multiple Vulnerabilities (Mac OS X) (BEAST)), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.

L'aggiornamento alla versione 4.4 elimina questa vulnerabilità. Una possibile soluzione è stata pubblicata immediatamente dopo la pubblicazione della vulnerabilità.

La vulnerabilità è documentata anche nel database Secunia (SA50068) e SecurityTracker (ID 1027302).

CVSSv3

Base Score: 5.3 [?]
Temp Score: 5.1 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N/E:X/RL:O/RC:C [?]
Affidabilità: Alto

CVSSv2

Base Score: 5.0 (CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N) [?]
Temp Score: 4.4 (CVSS2#E:ND/RL:OF/RC:C) [?]
Affidabilità: Alto

AVACAuCIA
LHMNNN
AMSPPP
NLNCCC
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
LocalHighMultipleNoneNoneNone
AdjacentMediumSinglePartialPartialPartial
NetworkLowNoneCompleteCompleteComplete

CPE

Exploiting

Classe: Information disclosure (CWE-264)
Locale: No
Remoto: Si

Disponibilità: No

Preventivo attuale: $5k-$10k (0-day) / $0-$1k (Oggi)

0-Day$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k
Oggi$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k


Nessus ID: 61413
Nessus Name: Apple Xcode < 4.4 Multiple Vulnerabilities (Mac OS X) (BEAST)
Nessus File: macosx_xcode_4_4.nasl
Nessus Family: MacOS X Local Security Checks

Contromisure

Raccomandazione: Upgrade
Status: Fix ufficiale
Reaction Time: 0 giorni dalla segnalazione
0-Day Time: 0 giorni dalla scoperta
Exposure Time: 0 giorni dalla pubblicazione

Upgrade: Xcode 4.4

Timeline

19/06/2012 CVE assegnato
25/07/2012 +36 giorni Pubblicazione advisory
25/07/2012 +0 giorni Pubblicazione contromisura
26/07/2012 +1 giorni Pubblicazione NVD
26/07/2012 +0 giorni SecurityTracker voce creata
27/07/2012 +1 giorni OSVDB voce creata
08/08/2012 +12 giorni VulDB voce creata
11/12/2015 +1221 giorni VulDB voce aggiornata

Fonti

Advisory: HT5416
Status: Confermato

CVE: CVE-2012-3698 (mitre.org) (nvd.nist.org) (cvedetails.com)

Secunia: 50068 - Apple Xcode Two Vulnerabilities, Less Critical
SecurityTracker: 1027302 - Apple Xcode Lets Local Applications Access Keychain Information For Other Applications
OSVDB: 84227 - Apple Xcode Designated Requirement (DR) Implementation App Store Application Keychain Item Information Disclosure

Voce

Data di creazione: 08/08/2012
Aggiornamenti: 11/12/2015
Voce: 84.8% completa