Microsoft Skype 3.2.0.6673 em Android Lockscreen Autenticação fraca

CVSS Meta Pontuação Temporária	Preço atual do exploit (≈)	Nota de Interesse CTI
7.3	$0-$5k	0.00

Uma vulnerabilidade foi encontrada em Microsoft Skype 3.2.0.6673. Foi classificada como crítico. Afetado é uma função desconhecida do componente Lockscreen. A manipulação com uma entrada desconhecida leva a Autenticação fraca. Usar CWE para declarar o problema leva a CWE-287. A fraqueza foi publicada 01/07/2013 por Emilio Lopez and Pulser como Mailinglist Post (Full-Disclosure). O comunicado está disponível para download em seclists.org. A divulgação pública ocorreu sem coordenação com o fornecedor.

Não há detalhes técnicos disponíveis. A popularidade desta vulnerabilidade está abaixo da média. Além disso, existe um exploit disponível. O exploit foi divulgado ao público e pode ser utilizado. Atualmente, o preço atual de um exploit pode ser aproximadamente USD $0-$5k no momento. O comunicado destaca:

Tested with Skype version 3.2.0.6673 (released 1st July 2013) on various Android devices (Sony Xperia Z, Samsung Galaxy Note 2, Huawei Premia 4G

É declarado como prova de conceito. Como 0 dia, o preço estimado do subsolo foi de cerca de $5k-$25k. A recomendação aponta:

1. Initiate a Skype call to the target device, which will cause it to wake, ring, and display a prompt on the screen to answer or reject the call, 2. Accept the call from the target device using the sreen answer button on the screen, 3. End the call from the initiating device (ie. the device used to call the target phone), 4. The target device will end the call, and should display the lockscreen, 5. Turn off the screen of the target device using the power key, and turn it on again, 6. The lockscreen will now be bypassed. It will remain bypassed until the device is rebooted

Produtoinformação

Tipo

Unified Communication Software

Fabricante

Microsoft

Nome

Skype

Versão

3.2.0.6673

Licença

grátis

Site

Fabricante: https://www.microsoft.com/

CPE 2.3informação

🔍

CPE 2.2informação

🔍

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 8.0
VulDB Meta Pontuação Temporária: 7.3

VulDB Pontuação Base: 8.0
VulDB Pontuação Temporária: 7.3
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv2informação

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complexidade	Autenticação	Confidencialidade	Integridade	Disponibilidade
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

Exploraçãoinformação

Classe: Autenticação fraca
CWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍

Físico: Parcial
Local: Sim
Remoto: Não

Disponibilidade: 🔍
Acesso: Público
Estado: Prova de conceito
Tendência de preços: 🔍
Estimativa de preço atual: 🔍

0-Day	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Hoje	Desbloquear	Desbloquear	Desbloquear	Desbloquear

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: nenhuma medida conhecida
Estado: 🔍

Tempo 0-dia: 🔍
Tempo de atraso de exploração: 🔍

Linha do tempoinformação

01/07/2013 🔍
01/07/2013 +0 dias 🔍
05/07/2013 +4 dias 🔍
19/03/2019 +2083 dias 🔍

Fontesinformação

Fabricante: microsoft.com

Aconselhamento: seclists.org
Pessoa: Emilio Lopez, Pulser
Estado: Não definido

GCVE (VulDB): GCVE-100-9335
OSVDB: 94794

scip Labs: https://www.scip.ch/en/?labs.20140918

Entradainformação

Criado: 05/07/2013 14h47
Atualizado: 19/03/2019 15h34
Ajustamentos: 05/07/2013 14h47 (46), 19/03/2019 15h34 (2)
Completo: 🔍
Editor: olku
Cache ID: 216:9DF:103

Discussão

Ainda sem comentários. Idiomas: pt + es + en.

Por favor, inicie sessão para comentar.

◂ Voltar Visão Geral Próximo ▸

Want to know what is going to be exploited?

We predict KEV entries!