| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 4.7 | $5k-$25k | 0.00 |
Apple iOS まで10.1.1内に 問題がある として分類された脆弱性が発見されました。 この問題により影響を受けるのは、コンポーネント【Security】の未知の機能です。 未知の値で改ざんすることが、 特権昇格を突く攻撃に繋がります。 この問題をCWEでは、CWE-20 と定義しました。 このバグは 2016年12月13日に発見されました。 この脆弱性は 2016年12月13日に CXsecurityの Maksymilian Arciemowicz (daybreaker@Minionz)より「Website」の アドバイザリーにて 「HT207422」として 紹介されました。 アドバイザリーは support.apple.com から入手可能です。
この脆弱性は CVE-2016-7636 として知られています。 CVEの割り当ては 2016年09月09日 に行われました。 攻撃はリモートで開始される場合があります。 入手できる技術的詳細情報はありません。 攻撃の巧妙度はやや高めです。 悪用可能性は困難だといわれています。 入手できるエクスプロイトツールはありません。 現時点で、脆弱性の構成から考えられる取引価格帯を約$5k-$25k米ドルと算出しました。 アドバイザリーは次を指摘しています。
A validation issue existed in the handling of OCSP responder URLs. This issue was addressed by verifying OCSP revocation status after CA validation and limiting the number of OCSP requests per certificate.
このエクスプロイトツールは 未定義 として宣言されています。 0dayとして、推定される闇市場取引価格はおよそ $25k-$100k でした。 脆弱性スキャナーNessusはID【95917 (macOS 10.12.x < 10.12.2 Multiple Vulnerabilities)】のプラグインを提供しています。ターゲット環境における不具合の有無を判定するのに役立ちます。 これは分類【MacOS X Local Security Checks 】に割り振られています。 プラグインはタイプ【 c 】のコンテキストで実行されています。
バージョン 10.2 をアップグレードすることで、この問題に対処できます。 影響を受けているコンポーネントのアップグレードを推奨します。 考えられる回避策が、前として脆弱性の公開後公表されました 。
脆弱性は「SecurityFocus (BID 94905) , Tenable (95917)」等の脆弱性データベースにも文書化されています。
製品
タイプ
ベンダー
名前
バージョン
ライセンス
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB 方向性: 🔍
VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 4.8VulDB 一時的なメタスコア: 4.7
VulDB ベーススコア: 3.7
VulDB 一時的なスコア: 3.6
VulDB 方向性: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 5.9
NVD 方向性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 方向性 | 複雑度 | 認証 | 守秘義務性 | 誠実性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 🔍
悪用する
クラス: 特権昇格CWE: CWE-20
ATT&CK: 未知
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未定義
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
Nessus ID: 95917
Nessus 名前: macOS 10.12.x < 10.12.2 Multiple Vulnerabilities
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
Nessus Context: 🔍
OpenVAS ID: 801105
OpenVAS 名前: Apple Mac OS X Multiple Vulnerabilities-01 February-2017
OpenVAS ファイル: 🔍
OpenVAS ファミリー: 🔍
脅威インテリジェンス
関心: 🔍アクティブ アクター: 🔍
アクティブな APT グループ: 🔍
対策
推奨: アップグレードステータス: 🔍
0day日時: 🔍
アップグレード: iOS 10.2
タイムライン
2016年09月09日 🔍2016年12月12日 🔍
2016年12月13日 🔍
2016年12月13日 🔍
2016年12月13日 🔍
2016年12月14日 🔍
2016年12月16日 🔍
2017年02月20日 🔍
2022年10月06日 🔍
ソース
ベンダー: apple.comアドバイザリー: HT207422
調査者: Maksymilian Arciemowicz (daybreaker@Minionz)
組織: CXsecurity
ステータス: 確認済み
確認: 🔍
CVE: CVE-2016-7636 (🔍)
SecurityTracker: 1037469
SecurityFocus: 94905 - Apple macOS/watchOS/iOS/tvOS Multiple Security Vulnerabilities
scip Labs: https://www.scip.ch/en/?labs.20150917
関連情報: : 🔍
エントリ
作成済み: 2016年12月14日 11:53更新済み: 2022年10月06日 09:32
変更: 2016年12月14日 11:53 (59), 2019年07月05日 17:51 (25), 2022年10月06日 09:32 (5)
完了: 🔍
コメントはまだありません。 言語: ja + en.
コメントするにはログインしてください。