Apple MacOS X do 10.10.2 UniformTypeIdentifiers memory corruption
| CVSS Wynik metatemperatury | Exploit Aktualna Cena (≈) | Wynik odsetkowy CTI |
|---|---|---|
| 7.0 | $0-$5k | 0.00 |
Podatność została odkryta w Apple MacOS X do 10.10.2 (Operating System). Podatnością dotknięta jest nieznana funkcja w komponencie UniformTypeIdentifiers. Poprzez manipulowanie przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności przepełnienie bufora. Wpływa to na poufność, spójność i dostępność.
Informacja o podatności została podana do publicznej wiadomości w dniu 2015-04-08 przez osobę/y Ole Andre Vadla Ravnas (lokihardt@ASRT) z firmy Apple jako HT204659 w formie potwierdzone raport (Website). Raport na temat podatności został udostępniony pod adresem support.apple.com. Podatność ta została oznaczona identyfikatorem CVE-2015-1144. Atak musi być przeprowadzony lokalnie. Pojedyncze uwierzytelnienie jest potrzebne do eksploitacji. Szczegóły techniczne są nieznane, ale publiczny exploit jest dostępny.
Exploit został stworzony w Ruby. Exploit można ściągnąć pod adresem securityfocus.com. Uważa się go za proof-of-concept. Skaner podatności Nessus jest wyposażony w plugin ID 82699 (Mac OS X 10.10.x < 10.10.3 Multiple Vulnerabilities (FREAK)), który pomaga ustalić, czy dane środowisko jest podatne na atak.
Aktualizacja do wersji 10.10.3 eliminuje tę podatność. Potencjalne zabezpieczenie zostało opublikowane po ujawnieniu podatności.
Błąd jest również udokumentowany w bazie podatności Tenable (82699).
Produkt
Rodzaj
Sprzedawca
Imię
Wersja
Licencja
Wsparcie
- end of life
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv3
VulDB Wynik metabazy: 7.8VulDB Wynik metatemperatury: 7.0
VulDB Wynik podstawowy: 7.8
VulDB Wynik tymczasowy: 7.0
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Wektor | Możliwość wykorzystania | Uwierzytelnianie | Poufność | Integralność | Dostępność |
|---|---|---|---|---|---|
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍
NVD Wynik podstawowy: 🔍
Exploit
Klasa: Przepełnienie buforaCWE: CWE-119
ATT&CK: Nieznany
Lokalny: Tak
Zdalny: Nie
Dostępność: 🔍
Dostęp: Publiczny
Status: Proof-of-Concept
Język programowania: 🔍
Pobierać: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍
| 0-Day | odblokować | odblokować | odblokować | odblokować |
|---|---|---|---|---|
| Dzisiaj | odblokować | odblokować | odblokować | odblokować |
Nessus ID: 82699
Nessus Imię: Mac OS X 10.10.x < 10.10.3 Multiple Vulnerabilities (FREAK)
Nessus Plik: 🔍
Nessus Ryzyko: 🔍
Nessus Family: 🔍
OpenVAS ID: 801105
OpenVAS Imię: Apple Mac OS X Multiple Vulnerabilities-01 Apr15
OpenVAS Plik: 🔍
OpenVAS Family: 🔍
Inteligencja Zagrożeń
Wysiłek: 🔍Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍
Przeciwdziałanie
Zalecane: UpgradeStatus: 🔍
Czas reakcji: 🔍
0-dniowy czas: 🔍
Czas ekspozycji: 🔍
Upgrade: MacOS X 10.10.3
Oś czasu
2015-01-16 🔍2015-04-08 🔍
2015-04-08 🔍
2015-04-08 🔍
2015-04-08 🔍
2015-04-10 🔍
2015-04-10 🔍
2015-04-10 🔍
2015-04-12 🔍
2022-09-22 🔍
Źródła
Sprzedawca: apple.comRaport: HT204659
Badacz: Ole Andre Vadla Ravnas (lokihardt@ASRT)
Organizacja: Apple
Status: Potwierdzone
Potwierdzenie: 🔍
CVE: CVE-2015-1144 (🔍)
SecurityTracker: 1032048 - Apple OS X Multiple Bugs Let Remote and Local Users Execute Arbitrary Code, Obtain Potentially Sensitive Information, and Deny Service
Vulnerability Center: 49483 - Apple MacOS X <10.10.3 Local Privilege Escalation via a Crafted Type Identifier - CVE-2015-1144, High
SecurityFocus: 73982 - Apple Mac OS X Prior to 10.10.3 Multiple Security Vulnerabilities
scip Labs: https://www.scip.ch/en/?labs.20180712
Zobacz także: 🔍
Wpis
Stworzono: 2015-04-10 10:22Aktualizacje: 2022-09-22 15:57
Zmiany: 2015-04-10 10:22 (73), 2017-06-25 08:42 (13), 2022-05-03 14:27 (3), 2022-09-22 15:57 (1)
Kompletny: 🔍
Brak komentarzy. Języki: pl + en.
Zaloguj się, aby skomentować.