Apple iOS 7.0 Lockscreen Multi-Tasking Elevação de Privilégios
| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 3.9 | $0-$5k | 0.00 |
Sumário
Uma vulnerabilidade, que foi classificada como crítico, foi encontrada em Apple iOS 7.0. O elemento afetado é uma função não identificada no componente Lockscreen. A utilização dentro de Multi-Tasking pode causar Elevação de Privilégios. Além disso, um exploit está disponível. Esta vulnerabilidade tem um impacto histórico devido ao seu contexto e recepção. Recomenda-se alterar as configurações.
Detalhes
Uma vulnerabilidade, que foi classificada como crítico, foi encontrada em Apple iOS 7.0. O elemento afetado é uma função não identificada no componente Lockscreen. A utilização dentro de Multi-Tasking pode causar Elevação de Privilégios. Ao utilizar CWE para declarar o problema, isso direciona para CWE-358. A falha foi publicada 19/09/2013 por Jose Rodriguez como iOS 7 Bug Lets Anyone Bypass iPhone's Lockscreen To Hijack Photos, Email, Or Twitter como Article (Site). O comunicado foi disponibilizado para download em forbes.com. A divulgação ao público ocorreu sem coordenação com o fabricante.
Nenhuma informação técnica disponível. Esta vulnerabilidade é mais popular do que a média. Além disso, um exploit está disponível. O exploit foi exposto ao público e pode ser aproveitado. No momento, o preço atual de um exploit pode estar em torno de USD $0-$5k atualmente. O projecto MITRE ATT&CK utiliza a técnica de ataque T1211 para esta edição. Esta vulnerabilidade tem um impacto histórico devido ao seu contexto e recepção. O boletim informa:
As the video shows, anyone can exploit the bug by swiping up on the lockscreen to access the phone’s “control center,” and then opening the alarm clock. Holding the phone’s sleep button brings up the option to power it off with a swipe. Instead, the intruder can tap “cancel” and double click the home button to enter the phone’s multitasking screen. That offers access to its camera and stored photos, along with the ability to share those photos from the user’s accounts, essentially allowing anyone who grabs the phone to hijack the user’s email, Twitter, Facebook FB or Flickr account.
Foi declarado como altamente funcional. A exploração está disponível em forbes.com. Como 0-day, o preço estimado no mercado clandestino era em torno de $100k e mais.
A aplicação da configuração Settings / Control Center / Access on Lock Screen / Off pode mitigar o problema. Recomenda-se alterar as configurações. O parecer contém a seguinte observação:
A spokesperson from Apple tells me that the company “takes security very seriously and we’re aware of this issue. We’ll deliver a fix in a future software update.
Produto
Tipo
Fabricante
Nome
Versão
Licença
Site
- Fabricante: https://www.apple.com/
CPE 2.3
CPE 2.2
Vídeo
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 4.0VulDB Meta Pontuação Temporária: 3.9
VulDB Pontuação Base: 4.0
VulDB Pontuação Temporária: 3.9
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
Exploração
Classe: Elevação de PrivilégiosCWE: CWE-358
CAPEC: 🔍
ATT&CK: 🔍
Físico: Parcial
Local: Sim
Remoto: Não
Disponibilidade: 🔍
Acesso: Público
Estado: Altamente funcional
Autor: Jose Rodriguez
Fiabilidade: 🔍
Descarregar: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: ConfigEstado: 🔍
Fiabilidade: 🔍
Tempo 0-dia: 🔍
Tempo de atraso de exploração: 🔍
Config: Settings / Control Center / Access on Lock Screen / Off
Linha do tempo
19/09/2013 🔍19/09/2013 🔍
24/09/2013 🔍
24/03/2019 🔍
Fontes
Fabricante: apple.comAconselhamento: iOS 7 Bug Lets Anyone Bypass iPhone's Lockscreen To Hijack Photos, Email, Or Twitter
Pessoa: Jose Rodriguez
Estado: Confirmado
GCVE (VulDB): GCVE-100-10458
OSVDB: 97533
scip Labs: https://www.scip.ch/en/?labs.20150917
Vários: 🔍
Entrada
Criado: 24/09/2013 16h17Atualizado: 24/03/2019 15h33
Ajustamentos: 24/09/2013 16h17 (59), 24/03/2019 15h33 (2)
Completo: 🔍
Editor:
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.