VDB-107067 · CVE-2017-1000 · HT208103

Apple Xcode 迄 8.3.3 Git 特権昇格

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
6.0	$0-$5k	0.00

要約情報

このたび、Apple Xcode 迄 8.3.3において、重大に分類される脆弱性が見つかりました。該当するのは不明な関数コンポーネントGitのです。未知の値で改ざんすることが、特権昇格を突く攻撃に繋がります}。この脆弱性はCVE-2017-1000という名称で流通しています。リモートで攻撃を実行することが可能です。対象コンポーネントのアップグレードを推奨します。

このたび、Apple Xcode 迄 8.3.3において、重大に分類される脆弱性が見つかりました。該当するのは不明な関数コンポーネントGitのです。未知の値で改ざんすることが、特権昇格を突く攻撃に繋がります}。この問題をCWEでは、CWE-269 と定義しました。この弱点は 2017年09月20日に発表されました、HT208103として、勧告として（ウェブサイト）。アドバイザリはsupport.apple.comでダウンロードできます。

この脆弱性はCVE-2017-1000という名称で流通しています。 CVEが2016年11月30日に割り当てられました。リモートで攻撃を実行することが可能です。テクニカルな情報はありません。この脆弱性の人気度は平均より低いです。現時点では、エクスプロイトの価格は約USD $0-$5kと考えられます。 MITRE ATT&CKプロジェクトによると、攻撃手法はT1068です。アドバイザリーは次を指摘しています。

An ssh:// URL scheme handling issue was addressed through improved input validation.

未定義に指定されています。 0-dayの場合、推定されるアンダーグラウンドでの価格は約$5k-$25kでした。商用脆弱性スキャナーQualysではプラグイン【 176163 (Debian Security Update for Linux (DSA 3981-1)) 】を使用してこの問題をテストできます。

9.0にアップグレードすることで、本問題を解消できます。対象コンポーネントのアップグレードを推奨します。脆弱性の公開後、すぐに経過してから対策が公開されました。