Apple MacOS X/iOS перед OS X 10.9/iOS 7 CoreText API Arabic Characters отказ в обслуживании
| CVSS Meta Temp Score | Текущая цена эксплойта (≈) | Балл интереса CTI |
|---|---|---|
| 7.2 | $0-$5k | 0.00 |
Сводка
Уязвимость была найдена в Apple MacOS X and iOS. Она была оценена как проблематичный. Неизвестная функция компонента CoreText API используется. Осуществление манипуляции в контексте Arabic Characters приводит к отказ в обслуживании. Кроме того, имеется доступный эксплойт. Рекомендуется произвести апгрейд соответствующего компонента.
Подробности
Уязвимость была найдена в Apple MacOS X and iOS. Она была оценена как проблематичный. Неизвестная функция компонента CoreText API используется. Осуществление манипуляции в контексте Arabic Characters приводит к отказ в обслуживании. Декларирование проблемы с помощью CWE приводит к CWE-404. Информация о слабости была опубликована 28.08.2013 автором adamzegelin под номером Rendering bug crashes OS X, iOS apps with string of Arabic characters как Posting (Веб-сайт). Консультация доступна по адресу news.ycombinator.com. Публичная публикация произошла без взаимодействия с производителем. Раскрытие содержит:
Some Mac and iOS device users on Twitter were only half joking when labeling the string the "unicode of death."
Техническая информация отсутствует. Уровень популярности этой уязвимости ниже среднего значения. Кроме того, имеется доступный эксплойт. Эксплойт опубликован и может быть использован. В настоящее время текущая цена эксплойта может составлять примерно USD $0-$5k. В уведомлении отмечается:
Security researchers, meanwhile, have been poring over crash dumps like this one for signs that the bug could be used for even more nefarious purposes, such as remotely executing malicious code on a vulnerable device.
Объявляется Высокофункциональный. Эксплойт доступен по адресу zhovner.com. В случае 0-day эксплойта, предполагаемая цена на подпольном рынке была около $25k-$100k. В уведомлении отмечается:
Tweets and other social networking dispatches were enough to cause browsers to crash, so within a few hours of the bug becoming public, Facebook was already preventing the characters from being posted to user walls and timelines by displaying [a] message.
Обновление до OS X 10.9 и iOS 7 может устранить эту уязвимость. Рекомендуется произвести апгрейд соответствующего компонента. В уведомлении содержится следующий комментарий:
This translated habrahabr.ru post about the bug claims that the issue has been fixed in both OS X 10.9 and iOS 7, so affected users who also happen to be early adopters of new Apple software should be able to get a fix soon. However, there's no word on whether future updates to iOS 6 or OS X 10.8 will fix the issue for users who can't or don't want to upgrade.
Затронуто
- Apple Mac OS X 10.8.4
- Apple iOS 6.1.3
Продукт
Тип
Поставщик
Имя
Лицензия
Поддержка
Веб-сайт
- Поставщик: https://www.apple.com/
CPE 2.3
CPE 2.2
Скриншот
CVSSv4
VulDB Вектор: 🔍VulDB Надёжность: 🔍
CVSSv3
VulDB Meta Base Score: 7.5VulDB Meta Temp Score: 7.2
VulDB Базовый балл: 7.5
VulDB Временная оценка: 7.2
VulDB Вектор: 🔍
VulDB Надёжность: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍
Эксплуатация
Класс: отказ в обслуживанииCWE: CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Физический: Нет
Локальный: Нет
Удалённый: Да
Доступность: 🔍
Доступ: публичный
Статус: Высокофункциональный
Автор: adamzegelin
Язык программирования: 🔍
Скачать: 🔍
Прогноз цен: 🔍
Оценка текущей цены: 🔍
| 0-Day | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
|---|---|---|---|---|
| Сегодня | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендация: ОбновлениеСтатус: 🔍
0-дневное время: 🔍
Задержка эксплуатации: 🔍
Обновление: MacOS X/iOS OS X 10.9/iOS 7
Хронология
28.08.2013 🔍28.08.2013 🔍
03.09.2013 🔍
22.09.2022 🔍
Источники
Поставщик: apple.comКонсультация: Rendering bug crashes OS X, iOS apps with string of Arabic characters
Исследователь: adamzegelin
Статус: Подтверждённый
GCVE (VulDB): GCVE-100-10105
scip Labs: https://www.scip.ch/en/?labs.20180712
Разное: 🔍
Вход
Создано: 03.09.2013 19:37Обновлено: 22.09.2022 15:29
Изменения: 03.09.2013 19:37 (57), 08.05.2018 09:03 (2), 22.09.2022 15:29 (2)
Завершенный: 🔍
Cache ID: 216:78A:103
Комментариев пока нет. Языки: ru + be + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.