| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 4.2 | $0-$5k | 0.00 |
要約
脆弱性が問題があるとして分類され、Apple Mac OS X 迄 10.8で発見されました。 該当するのは 不明な関数 コンポーネントX.509 Certificate Handlingのです。 この操作は、 情報漏えいを引き起こします。 この脆弱性はCVE-2011-3427として取引されています。 対象コンポーネントのアップグレードを推奨します。
詳細
脆弱性が問題があるとして分類され、Apple Mac OS X 迄 10.8で発見されました。 該当するのは 不明な関数 コンポーネントX.509 Certificate Handlingのです。 この操作は、 情報漏えいを引き起こします。 この問題をCWEでは、CWE-200 と定義しました。 この脆弱性は 2013年10月22日に公開されました 、Appleとともに 、APPLE-SA-2013-10-22-3として 、Mailinglist Postとして (Apple Security Mailinglist)。 アドバイザリーは lists.apple.com で共有されています。 本開示には次の内容が含まれています:
Certificates signed using the MD5 hash algorithm were accepted by OS X. This algorithm has known cryptographic weaknesses. Further research or a misconfigured certificate authority could have allowed the creation of X.509 certificates with attacker controlled values that would have been trusted by the system. This would have exposed X.509 based protocols to spoofing, man in the middle attacks, and information disclosure. This update disables support for an X.509 certificate with an MD5 hash for any use other than as a trusted root certificate.
この脆弱性はCVE-2011-3427として取引されています。 CVEのアサインは2011年09月13日に実施されました。 技術詳細は存在しません。 この脆弱性の人気度は平均より低いです。 現時点では、エクスプロイトの価格は約USD $0-$5kと考えられます。 MITRE ATT&CKプロジェクトは、攻撃手法を T1592 と定義しています。
0-dayとして、アンダーグラウンドでの推定価格は$5k-$25k程度でした。 Nessus脆弱性スキャナーは、IDが70561のプラグインを持っています。 これは【MacOS X Local Security Checks 】に分類されています。
この問題は、10.9へのアップグレードによって解決可能です。 対象コンポーネントのアップグレードを推奨します。 脆弱性が開示されてから すぐに 経過後に、対策が提供されました。
他の脆弱性データベースにもこの脆弱性の情報があります: SecurityFocus (BID 63290), X-Force (70547), Secunia (SA46377), Vulnerability Center (SBV-44762) , Tenable (70561).
製品
タイプ
ベンダー
名前
バージョン
ライセンス
サポート
ウェブサイト
- ベンダー: https://www.apple.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 4.8VulDB 一時的なメタスコア: 4.2
VulDB ベーススコア: 4.8
VulDB 一時的なスコア: 4.2
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用
クラス: 情報漏えいCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未実証
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
Nessus ID: 70561
Nessus 名前: Mac OS X 10.x < 10.9 Multiple Vulnerabilities (BEAST)
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
リアクション時間: 🔍
暴露時間: 🔍
アップグレード: Mac OS X 10.9
タイムライン
2011年09月13日 🔍2011年10月12日 🔍
2011年10月12日 🔍
2011年10月14日 🔍
2013年10月22日 🔍
2013年10月22日 🔍
2013年10月23日 🔍
2014年06月05日 🔍
2021年06月01日 🔍
ソース
ベンダー: apple.com勧告: APPLE-SA-2013-10-22-3
組織: Apple
ステータス: 確認済み
確認: 🔍
CVE: CVE-2011-3427 (🔍)
GCVE (CVE): GCVE-0-2011-3427
GCVE (VulDB): GCVE-100-10941
X-Force: 70547 - Apple iOS and Apple TV X.509 spoofing
SecurityFocus: 63290 - Apple iOS CVE-2011-3427 SSL Certificate Validation Spoofing Vulnerability
Secunia: 46377
OSVDB: 76326
Vulnerability Center: 44762 - Apple iOS and Apple TV Remote Information Disclosure via a Crafted Certificate, Low
scip Labs: https://www.scip.ch/en/?labs.20150108
関連情報: 🔍
エントリ
作成済み: 2013年10月23日 17:41更新済み: 2021年06月01日 08:20
変更: 2013年10月23日 17:41 (73), 2017年05月29日 10:35 (3), 2021年06月01日 08:20 (3)
完了: 🔍
Cache ID: 216:884:103
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。