VDB-10318 · CVE-2013-5134 · GCVE-0-2013-5134

Apple iOS 迄 6.1.4 Data Security 弱い認証

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
6.2	$0-$5k	0.00

要約情報

現在、Apple iOS 迄 6.1.4にて、問題があると分類される脆弱性が確認されています。対象となるのは不明な関数コンポーネントData Securityのです。引数の操作が、弱い認証をもたらします。この脆弱性はCVE-2013-5134として知られています。影響コンポーネントのアップグレードを推奨します。

現在、Apple iOS 迄 6.1.4にて、問題があると分類される脆弱性が確認されています。対象となるのは不明な関数コンポーネントData Securityのです。引数の操作が、弱い認証をもたらします。この脆弱性に対応するCWEの定義は CWE-290 です。この脆弱性は 2013年09月18日に「ウェブサイト」の Mailinglist Postにて「APPLE-SA-2013-09-18-2 iOS 7」として紹介されました。アドバイザリーは prod.lists.apple.com で共有されています。この開示には以下の情報が含まれています：

TrustWave, a trusted root CA, has issued, and subsequently revoked, a sub-CA certificate from one of its trusted anchors. This sub-CA facilitated the interception of communications secured by Transport Layer Security (TLS). This update added the involved sub-CA certificate to OS X's list of untrusted certificates.

この脆弱性はCVE-2013-5134として知られています。技術的な情報は提供されていません。この脆弱性の一般的な利用度は平均を下回っています。今のところ、エクスプロイトの価格はおよそUSD $0-$5kと推定されます。

このエクスプロイトツールは未定義として宣言されています。 0-dayの際、アンダーグラウンド市場での想定価格は$25k-$100k前後でした。

バージョンiOS 7.0にアップグレードすることで、この問題に対処できます。影響コンポーネントのアップグレードを推奨します。