| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 5.7 | $0-$5k | 0.00 |
脆弱性が Apple iOS まで12.4.1 内に見つかりました。この脆弱性は 重大 として分類されました。 この脆弱性により影響を受けるのは、コンポーネント【Siri】の未知の機能です。 未知の値でAudio Fileの一部として攻撃することが、 特権昇格を突く攻撃 「Self」に繋がります。 この脆弱性に対応するCWEの定義は CWE-269 です。 このバグは 2019年05月15日に発見されました。 この脆弱性は 2019年10月10日に scip AGの Marc Ruefより「Website」の Blog Postにて 「iPhone Siri Self-Reference Exploiting」として 紹介されました。 アドバイザリーは scip.ch で共有されています。 一般公開はベンダーと調整されました。
この脆弱性は CVE-2019-25071 として扱われます。 攻撃はリモートで開始される可能性が高いです。 入手できる技術的詳細情報はありません。 さらに、入手できるエクスプロイトツールが存在します。 エクスプロイトツールは一般に公開されており、悪用される可能性があります。 現時点で、エクスプロイトツールの価格はおそらく米ドルで約$0-$5kです。 MITRE ATT&CKプロジェクトは、この問題に対して攻撃手法 T1068 を使用しました。
It happened when playing a YouTube video on an iPhone XS with iOS 12.3.1; suddenly, Siri piped up. It was as if she had heard the command Hey, Siri and responded. But there was no such command in the video. At first, we thought it might be a coincidence.とアドバイザリーは指摘しています。
このエクスプロイトツールは proof-of-concept として宣言されています。 エクスプロイトツールは youtube.com からダウンロードできます。 脆弱性は、少なくとも 132 日の間、非公開の0day攻撃ツールとして扱われました。 0dayにはおよそ $25k-$100k の価値があったと予想しています。 この脆弱性が実際に存在することは、現時点ではまだ疑わしいです。 】のプラグインを提供しています。
バージョン 13.0 をアップグレードすることで、この問題に対処できます。 影響を受けているコンポーネントのアップグレードを推奨します。 考えられる回避策が、前として脆弱性の公開後公表されました 。 アドバイザリーには次の備考が含まれています。
In accordance with the responsible disclosure process, we made prior email contact with Apple on July 10, 2019 and told them about our discovery. (…) The next day, the Apple Security Team replied. They indicated that the facts were correct, but they did not consider it a risk.製品
タイプ
ベンダー
名前
ライセンス
- commercial
CPE 2.3
CPE 2.2
ビデオ
CVSSv3
VulDB ベースメタスコア: 6.3VulDB 一時的なメタスコア: 5.7
VulDB ベーススコア: 6.3
VulDB 一時的なスコア: 5.7
VulDB 方向性: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 方向性 | 複雑度 | 認証 | 守秘義務性 | 誠実性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
悪用する
名前: Selfクラス: 特権昇格 / Self
CWE: CWE-269 / CWE-266
ATT&CK: T1068
ローカル: いいえ
リモート: はい
可用性: 🔍
アクセス: パブリック
ステータス: Proof-of-Concept
作成者: Marc Ruef
ダウンロード: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブ アクター: 🔍
アクティブな APT グループ: 🔍
対策
推奨: アップグレードステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
エクスプロイト遅延日時: 🔍
アップグレード: iOS 13.0
タイムライン
2019年05月15日 🔍2019年07月10日 🔍
2019年07月11日 🔍
2019年09月24日 🔍
2019年10月09日 🔍
2019年10月10日 🔍
2019年10月10日 🔍
2022年06月25日 🔍
ソース
ベンダー: apple.comアドバイザリー: iPhone Siri Self-Reference Exploiting
調査者: Marc Ruef
組織: scip AG
ステータス: 確認済み
調整済み: 🔍
係争状態: 🔍
CVE: CVE-2019-25071 (🔍)
scip Labs: https://www.scip.ch/en/?labs.20150917
エントリ
作成済み: 2019年10月09日 09:47更新済み: 2022年06月25日 14:58
変更: 2019年10月09日 09:47 (63), 2020年09月27日 09:51 (2), 2022年06月24日 16:28 (2), 2022年06月25日 14:56 (4), 2022年06月25日 14:58 (1)
完了: 🔍
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。