Apple MacOS X/iOS 以前は OS X 10.9/iOS 7 CoreText API Arabic Characters サービス拒否
| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 7.2 | $0-$5k | 0.00 |
要約
Apple MacOS X and iOS内に 問題がある として分類された脆弱性が発見されました。 この問題により影響を受けるのは、コンポーネント【CoreText API】の未知の機能です。 この Arabic Charactersの一部としての操作は、 サービス拒否を引き起こします。 エクスプロイトは存在しません。 影響を受けたコンポーネントのアップグレードを推奨します。
詳細
Apple MacOS X and iOS内に 問題がある として分類された脆弱性が発見されました。 この問題により影響を受けるのは、コンポーネント【CoreText API】の未知の機能です。 この Arabic Charactersの一部としての操作は、 サービス拒否を引き起こします。 問題をCWEで宣言すると、CWE-404 になります。 この弱点は発表されました 2013年08月28日 adamzegelinによって Rendering bug crashes OS X, iOS apps with string of Arabic charactersとして Postingとして (ウェブサイト)。 アドバイザリはnews.ycombinator.comから入手可能です。 ベンダーとの協議が行われないまま公開されました。 開示内容は以下の通りです:
Some Mac and iOS device users on Twitter were only half joking when labeling the string the "unicode of death."
技術的な詳細は利用できません。 この脆弱性の一般的な利用度は平均を下回っています。 エクスプロイトは存在しません。 このエクスプロイトは一般に公開されており、利用される恐れがあります。 現時点で、脆弱性の構成から考えられる取引価格帯を約$0-$5k米ドルと算出しました。 アドバイザリは以下の内容を示しています:
Security researchers, meanwhile, have been poring over crash dumps like this one for signs that the bug could be used for even more nefarious purposes, such as remotely executing malicious code on a vulnerable device.
高度に機能的 として宣言されています。 エクスプロイトはzhovner.comでダウンロードできます。 0dayにはおよそ $25k-$100k の価値があったと予想しています。 アドバイザリでは以下の点が述べられています:
Tweets and other social networking dispatches were enough to cause browsers to crash, so within a few hours of the bug becoming public, Facebook was already preventing the characters from being posted to user walls and timelines by displaying [a] message.】のプラグインを提供しています。
この問題は、OS X 10.9 , iOS 7へのアップグレードによって解決可能です。 影響を受けたコンポーネントのアップグレードを推奨します。 アドバイザリには以下のようなコメントが記載されています:
This translated habrahabr.ru post about the bug claims that the issue has been fixed in both OS X 10.9 and iOS 7, so affected users who also happen to be early adopters of new Apple software should be able to get a fix soon. However, there's no word on whether future updates to iOS 6 or OS X 10.8 will fix the issue for users who can't or don't want to upgrade.
影響あり
- Apple Mac OS X 10.8.4
- Apple iOS 6.1.3
製品
タイプ
ベンダー
名前
ライセンス
サポート
ウェブサイト
- ベンダー: https://www.apple.com/
CPE 2.3
CPE 2.2
スクリーンショット
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 7.5VulDB 一時的なメタスコア: 7.2
VulDB ベーススコア: 7.5
VulDB 一時的なスコア: 7.2
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
悪用
クラス: サービス拒否CWE: CWE-404
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
アクセス: パブリック
ステータス: 高度に機能的
著者: adamzegelin
プログラミング言語: 🔍
ダウンロード: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
0day日時: 🔍
エクスプロイト遅延時間: 🔍
アップグレード: MacOS X/iOS OS X 10.9/iOS 7
タイムライン
2013年08月28日 🔍2013年08月28日 🔍
2013年09月03日 🔍
2022年09月22日 🔍
ソース
ベンダー: apple.com勧告: Rendering bug crashes OS X, iOS apps with string of Arabic characters
調査者: adamzegelin
ステータス: 確認済み
GCVE (VulDB): GCVE-100-10105
scip Labs: https://www.scip.ch/en/?labs.20180712
その他: 🔍
エントリ
作成済み: 2013年09月03日 19:37更新済み: 2022年09月22日 15:29
変更: 2013年09月03日 19:37 (57), 2018年05月08日 09:03 (2), 2022年09月22日 15:29 (2)
完了: 🔍
Cache ID: 216:591:103
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。