| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 5.7 | $0-$5k | 0.00 |
要約
Apple iOS 迄 12.4.1内に 重大 として分類された脆弱性が発見されました。 この問題により影響を受けるのは、コンポーネント【Siri】の未知の機能です。 この Audio Fileの一部としての操作は、 特権昇格 (Self)を引き起こします。 この脆弱性は CVE-2019-25071 として扱われます。 リモート攻撃が可能です。 エクスプロイトは存在しません。 この脆弱性の実在は現時点ではまだ疑問視されています。 影響を受けたコンポーネントのアップグレードを推奨します。
詳細
Apple iOS 迄 12.4.1内に 重大 として分類された脆弱性が発見されました。 この問題により影響を受けるのは、コンポーネント【Siri】の未知の機能です。 この Audio Fileの一部としての操作は、 特権昇格 (Self)を引き起こします。 問題をCWEで宣言すると、CWE-269 になります。 バグが発見されたのは2019年05月15日です。 この弱点は発表されました 2019年10月10日 Marc Ruefによって (scip AGとともに) iPhone Siri Self-Reference Exploitingとして Blog Postとして (ウェブサイト)。 アドバイザリはscip.chにて共有されています。 公開情報のリリースはベンダーと協議済みです。
この脆弱性は CVE-2019-25071 として扱われます。 リモート攻撃が可能です。 技術的な詳細は利用できません。 この脆弱性の一般的な利用度は平均を下回っています。 エクスプロイトは存在しません。 このエクスプロイトは一般に公開されており、利用される恐れがあります。 現時点で、脆弱性の構成から考えられる取引価格帯を約$0-$5k米ドルと算出しました。 MITRE ATT&CKプロジェクトはT1068という攻撃手法を宣言しています。 アドバイザリは以下の内容を示しています:
It happened when playing a YouTube video on an iPhone XS with iOS 12.3.1; suddenly, Siri piped up. It was as if she had heard the command Hey, Siri and responded. But there was no such command in the video. At first, we thought it might be a coincidence.
概念実証 として宣言されています。 エクスプロイトのダウンロード先はyoutube.comです。 この脆弱性は少なくとも132日間、非公開のゼロデイ脆弱性として扱われていました。 0dayにはおよそ $25k-$100k の価値があったと予想しています。 この脆弱性の実在は現時点ではまだ疑問視されています。 】のプラグインを提供しています。
この問題は、13.0へのアップグレードによって解決可能です。 影響を受けたコンポーネントのアップグレードを推奨します。 脆弱性が公開されてから 前 後に、対策が発表されました。 アドバイザリには以下のようなコメントが記載されています:
In accordance with the responsible disclosure process, we made prior email contact with Apple on July 10, 2019 and told them about our discovery. (…) The next day, the Apple Security Team replied. They indicated that the facts were correct, but they did not consider it a risk.
製品
タイプ
ベンダー
名前
バージョン
ライセンス
ウェブサイト
- ベンダー: https://www.apple.com/
CPE 2.3
CPE 2.2
ビデオ
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 6.3VulDB 一時的なメタスコア: 5.7
VulDB ベーススコア: 6.3
VulDB 一時的なスコア: 5.7
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
悪用
名前: Selfクラス: 特権昇格 / Self
CWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
アクセス: パブリック
ステータス: 概念実証
著者: Marc Ruef
ダウンロード: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
リアクション時間: 🔍
0day日時: 🔍
エクスプロイト遅延時間: 🔍
アップグレード: iOS 13.0
タイムライン
2019年05月15日 🔍2019年07月10日 🔍
2019年07月11日 🔍
2019年09月24日 🔍
2019年10月09日 🔍
2019年10月10日 🔍
2019年10月10日 🔍
2022年06月24日 🔍
2024年01月05日 🔍
ソース
ベンダー: apple.com勧告: iPhone Siri Self-Reference Exploiting
調査者: Marc Ruef
組織: scip AG
ステータス: 確認済み
調整済み: 🔍
係争中: 🔍
CVE: CVE-2019-25071 (🔍)
GCVE (CVE): GCVE-0-2019-25071
GCVE (VulDB): GCVE-100-143125
scip Labs: https://www.scip.ch/en/?labs.20150917
エントリ
作成済み: 2019年10月09日 09:47更新済み: 2024年01月05日 09:48
変更: 2019年10月09日 09:47 (63), 2020年09月27日 09:51 (2), 2022年06月24日 16:28 (2), 2022年06月25日 14:56 (4), 2022年06月25日 14:58 (1), 2024年01月05日 09:48 (3)
完了: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。