Microsoft Skype 3.2.0.6673 上 Android Lockscreen 弱い認証

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
7.3	$0-$5k	0.00

要約情報

Microsoft Skype 3.2.0.6673内に重大として分類された脆弱性が発見されました。影響を受けるのは、コンポーネント【Lockscreen】の未知の関数です。未知の値で改ざんすることが、弱い認証を突く攻撃に繋がります}。さらに、悪用手段が存在します。

Microsoft Skype 3.2.0.6673内に重大として分類された脆弱性が発見されました。影響を受けるのは、コンポーネント【Lockscreen】の未知の関数です。未知の値で改ざんすることが、弱い認証を突く攻撃に繋がります}。 CWEを使用して問題を宣言すると、CWE-287 につながります。この弱点は発表されました 2013年07月01日 Emilio Lopez and Pulserによって Mailinglist Postとして（Full-Disclosure）。アドバイザリはseclists.orgから入手可能です。ベンダーとの調整なしに公開されました。

技術的な詳細は利用できません。この脆弱性の普及度は平均未満です。さらに、悪用手段が存在します。エクスプロイトツールは一般に公開されており、悪用される可能性があります。エクスプロイトツールの現在の価格はおそらく米ドルで約$0-$5kです。アドバイザリーは次を指摘しています。

Tested with Skype version 3.2.0.6673 (released 1st July 2013) on various Android devices (Sony Xperia Z, Samsung Galaxy Note 2, Huawei Premia 4G

概念実証として宣言されています。 0dayにはおよそ $5k-$25k の価値があったと予想しています。アドバイザリでは以下の点が述べられています：

1. Initiate a Skype call to the target device, which will cause it to wake, ring, and display a prompt on the screen to answer or reject the call, 2. Accept the call from the target device using the sreen answer button on the screen, 3. End the call from the initiating device (ie. the device used to call the target phone), 4. The target device will end the call, and should display the lockscreen, 5. Turn off the screen of the target device using the power key, and turn it on again, 6. The lockscreen will now be bypassed. It will remain bypassed until the device is rebooted

】のプラグインを提供しています。

製品情報

タイプ

Unified Communication Software

ベンダー

Microsoft

名前

Skype

バージョン

3.2.0.6673

ライセンス

無償

ウェブサイト

ベンダー: https://www.microsoft.com/

CPE 2.3情報

🔍

CPE 2.2情報

🔍

CVSSv4情報

VulDB ベクトル: 🔍
VulDB 信頼性: 🔍

CVSSv3情報

VulDB ベースメタスコア: 8.0
VulDB 一時的なメタスコア: 7.3

VulDB ベーススコア: 8.0
VulDB 一時的なスコア: 7.3
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍

CVSSv2情報

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

ベクトル	複雑さ	認証	機密性	完全性	可用性
解除	解除	解除	解除	解除	解除
解除	解除	解除	解除	解除	解除
解除	解除	解除	解除	解除	解除

VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍

悪用情報

クラス: 弱い認証
CWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍

物理的: 部分的
ローカル: はい
リモート: いいえ

可用性: 🔍
アクセス: パブリック
ステータス: 概念実証
価格予測: 🔍
現在の価格評価: 🔍

0-Day	解除	解除	解除	解除
本日	解除	解除	解除	解除

脅威インテリジェンス情報

関心: 🔍
アクティブアクター: 🔍
アクティブなAPTグループ: 🔍

対策情報

推奨: 既知の緩和策なし
ステータス: 🔍

0day日時: 🔍
エクスプロイト遅延時間: 🔍

タイムライン情報

2013年07月01日 🔍
2013年07月01日 +0 日 🔍
2013年07月05日 +4 日 🔍
2019年03月19日 +2083 日 🔍

ソース情報

ベンダー: microsoft.com

勧告: seclists.org
調査者: Emilio Lopez, Pulser
ステータス: 未定義

GCVE (VulDB): GCVE-100-9335
OSVDB: 94794

scip Labs: https://www.scip.ch/en/?labs.20140918

エントリ情報

作成済み: 2013年07月05日 14:47
更新済み: 2019年03月19日 15:34
変更: 2013年07月05日 14:47 (46), 2019年03月19日 15:34 (2)
完了: 🔍
コミッター: olku
Cache ID: 216:A10:103

Be aware that VulDB is the high quality source for vulnerability data.

討論

コメントはまだありません。言語: ja + en.

コメントするにはログインしてください。

◂ 前概要次 ▸

Want to know what is going to be exploited?

We predict KEV entries!