| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 3.9 | $0-$5k | 0.00 |
要約
現在、Apple iOS 7.0にて、重大と分類される脆弱性が確認されています。 この脆弱性により影響を受けるのは、コンポーネント【Lockscreen】の未知の機能です。 引数 Multi-Taskingの一部としての操作が、 特権昇格をもたらします。 さらに、エクスプロイトが利用可能です。 この脆弱性は、背景や反響のために歴史的な影響を及ぼしています。 構成を変更することを推奨します。
詳細
現在、Apple iOS 7.0にて、重大と分類される脆弱性が確認されています。 この脆弱性により影響を受けるのは、コンポーネント【Lockscreen】の未知の機能です。 引数 Multi-Taskingの一部としての操作が、 特権昇格をもたらします。 CWEを用いて問題を定義すると、CWE-358 となります。 この脆弱性は 2013年09月19日に Jose Rodriguezより「ウェブサイト」の Articleにて 「iOS 7 Bug Lets Anyone Bypass iPhone's Lockscreen To Hijack Photos, Email, Or Twitter」として 紹介されました。 アドバイザリーは forbes.com で共有されています。 ベンダーと連携せずに情報が公開されました。
技術的な情報は提供されていません。 この脆弱性の普及度は標準を上回っています。 さらに、エクスプロイトが利用可能です。 エクスプロイトが公に開示されており、悪用される可能性があります。 現時点で、エクスプロイトツールの価格はおそらく米ドルで約$0-$5kです。 MITRE ATT&CKプロジェクトは、攻撃手法を T1211 と定義しています。 この脆弱性は、背景や反響のために歴史的な影響を及ぼしています。 本アドバイザリによると、次の通りです:
As the video shows, anyone can exploit the bug by swiping up on the lockscreen to access the phone’s “control center,” and then opening the alarm clock. Holding the phone’s sleep button brings up the option to power it off with a swipe. Instead, the intruder can tap “cancel” and double click the home button to enter the phone’s multitasking screen. That offers access to its camera and stored photos, along with the ability to share those photos from the user’s accounts, essentially allowing anyone who grabs the phone to hijack the user’s email, Twitter, Facebook FB or Flickr account.
このエクスプロイトツールは 高度に機能的 として宣言されています。 エクスプロイトツールは forbes.com からダウンロードできます。 0-dayの際、アンダーグラウンド市場での想定価格は$100k 以上前後でした。
設定 Settings / Control Center / Access on Lock Screen / Off を適用することで問題を緩和することが可能です。 構成を変更することを推奨します。 アドバイザリには次の注記が含まれています:
A spokesperson from Apple tells me that the company “takes security very seriously and we’re aware of this issue. We’ll deliver a fix in a future software update.
製品
タイプ
ベンダー
名前
バージョン
ライセンス
ウェブサイト
- ベンダー: https://www.apple.com/
CPE 2.3
CPE 2.2
ビデオ
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 4.0VulDB 一時的なメタスコア: 3.9
VulDB ベーススコア: 4.0
VulDB 一時的なスコア: 3.9
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
悪用
クラス: 特権昇格CWE: CWE-358
CAPEC: 🔍
ATT&CK: 🔍
物理的: 部分的
ローカル: はい
リモート: いいえ
可用性: 🔍
アクセス: パブリック
ステータス: 高度に機能的
著者: Jose Rodriguez
信頼性: 🔍
ダウンロード: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: Configステータス: 🔍
信頼性: 🔍
0day日時: 🔍
エクスプロイト遅延時間: 🔍
Config: Settings / Control Center / Access on Lock Screen / Off
タイムライン
2013年09月19日 🔍2013年09月19日 🔍
2013年09月24日 🔍
2019年03月24日 🔍
ソース
ベンダー: apple.com勧告: iOS 7 Bug Lets Anyone Bypass iPhone's Lockscreen To Hijack Photos, Email, Or Twitter
調査者: Jose Rodriguez
ステータス: 確認済み
GCVE (VulDB): GCVE-100-10458
OSVDB: 97533
scip Labs: https://www.scip.ch/en/?labs.20150917
その他: 🔍
エントリ
作成済み: 2013年09月24日 16:17更新済み: 2019年03月24日 15:33
変更: 2013年09月24日 16:17 (59), 2019年03月24日 15:33 (2)
完了: 🔍
コミッター:
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。