| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 4.7 | $0-$5k | 0.00 |
要約
このたび、Apple iOS 7.0において、問題があるに分類される脆弱性が見つかりました。 影響を受けるのは 不明な関数 コンポーネントSIRIのです。 操作結果として 特権昇格につながります。 攻撃手法は利用できません。 影響対象のコンポーネントを無効にすることを推奨します。
詳細
このたび、Apple iOS 7.0において、問題があるに分類される脆弱性が見つかりました。 影響を受けるのは 不明な関数 コンポーネントSIRIのです。 操作結果として 特権昇格につながります。 CWEによる問題の宣言は、CWE-358 につながります。 この弱点は 2013年09月20日に発表されました 、Rahrikar and Yuenによって 、Cenzic Researchers Uncover New Vulnerability in Apple’s iOS 7 that Enables Pretenders to Act on a Users’ Behalf – Even When iPhones are Lockedとして 、Blog Postとして (ウェブサイト)。 アドバイザリーは blog.cenzic.com で共有されています。 一般向けリリースはベンダーとの調整なしに行われました。
テクニカルな情報はありません。 この脆弱性の普及度は平均未満です。 攻撃手法は利用できません。 エクスプロイトが公開されており、使用される可能性があります。 現在の時点で、エクスプロイトの価格はおおよそUSD $0-$5kかもしれません。 MITRE ATT&CKプロジェクトは、攻撃手法を T1211 と定義しています。
概念実証 に指定されています。 エクスプロイトツールは youtube.com からダウンロードできます。 0-dayの場合、推定されるアンダーグラウンドでの価格は約$25k-$100kでした。 勧告では次のように指摘されています:
The SIRI flaw can be used to operate many other iPhone functions that would normally require user permissions, even when the iPhone is locked. Among the operations that our researchers were able to accomplish on a locked iPhone include the ability to: - Call any phone - Send messages using iPhone owner’s identity - Send email using iPhone owner’s identity – This could enable phishing attacks - View calling history – Exposes information on recent calls and calling partners - View limited contacts – Enables attackers to discover details on specific, known contacts - Discover personal information of contacts with common, easily-guessed names - Post on Twitter - Post on Facebook - Get addresses saved in Apple Maps
影響対象のコンポーネントを無効にすることを推奨します。
製品
タイプ
ベンダー
名前
バージョン
ライセンス
ウェブサイト
- ベンダー: https://www.apple.com/
CPE 2.3
CPE 2.2
ビデオ
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 5.1VulDB 一時的なメタスコア: 4.7
VulDB ベーススコア: 5.1
VulDB 一時的なスコア: 4.7
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
悪用
クラス: 特権昇格CWE: CWE-358
CAPEC: 🔍
ATT&CK: 🔍
物理的: 部分的
ローカル: はい
リモート: いいえ
可用性: 🔍
アクセス: パブリック
ステータス: 概念実証
ダウンロード: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: 無効化ステータス: 🔍
0day日時: 🔍
エクスプロイト遅延時間: 🔍
タイムライン
2013年09月20日 🔍2013年09月20日 🔍
2013年09月25日 🔍
2019年03月24日 🔍
ソース
ベンダー: apple.com勧告: Cenzic Researchers Uncover New Vulnerability in Apple’s iOS 7 that Enables Pretenders to Act on a Users’ Behalf – Even When iPhones are Locked
調査者: Rahrikar, Yuen
ステータス: 確認済み
GCVE (VulDB): GCVE-100-10472
OSVDB: 97586
scip Labs: https://www.scip.ch/en/?labs.20150917
その他: 🔍
関連情報: 🔍
エントリ
作成済み: 2013年09月25日 12:55更新済み: 2019年03月24日 15:37
変更: 2013年09月25日 12:55 (51), 2019年03月24日 15:37 (2)
完了: 🔍
コミッター:
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。