| CVSS Meta Temp Score | Текущая цена эксплойта (≈) | Балл интереса CTI |
|---|---|---|
| 3.9 | $0-$5k | 0.00 |
Сводка
Зафиксирована уязвимость, классифицируемая как критический, в Apple iOS 7.0. Затронута неизвестная функция компонента Lockscreen. Выполнение манипуляции в составе Multi-Tasking приводит к эскалация привилегий. Также существует доступный эксплойт. Эта уязвимость имеет историческое влияние благодаря своему происхождению и приему. Рекомендуется внести изменения в настройки конфигурации.
Подробности
Зафиксирована уязвимость, классифицируемая как критический, в Apple iOS 7.0. Затронута неизвестная функция компонента Lockscreen. Выполнение манипуляции в составе Multi-Tasking приводит к эскалация привилегий. Указание проблемы через CWE ведет к CWE-358. Данная уязвимость была опубликована 19.09.2013 исследователем Jose Rodriguez с идентификатором iOS 7 Bug Lets Anyone Bypass iPhone's Lockscreen To Hijack Photos, Email, Or Twitter в виде Article (Веб-сайт). Консультацию можно прочитать на сайте forbes.com. Публичное раскрытие информации было осуществлено без согласования с вендором.
Техническая информация не предоставлена. Данная уязвимость пользуется популярностью выше среднего уровня. Также существует доступный эксплойт. Эксплойт доступен широкой публике и может быть использован. На текущий момент стоимость эксплойта может быть примерно USD $0-$5k. Проект MITRE ATT&CK определяет технику атаки как T1211. Эта уязвимость имеет историческое влияние благодаря своему происхождению и приему. В бюллетене отмечено:
As the video shows, anyone can exploit the bug by swiping up on the lockscreen to access the phone’s “control center,” and then opening the alarm clock. Holding the phone’s sleep button brings up the option to power it off with a swipe. Instead, the intruder can tap “cancel” and double click the home button to enter the phone’s multitasking screen. That offers access to its camera and stored photos, along with the ability to share those photos from the user’s accounts, essentially allowing anyone who grabs the phone to hijack the user’s email, Twitter, Facebook FB or Flickr account.
Это объявлено как Высокофункциональный. Эксплойт доступен для загрузки по адресу forbes.com. В качестве 0-day ориентировочная цена на подпольном рынке составляла около $100k и многое другое.
Проблему можно смягчить, применив параметр конфигурации Settings / Control Center / Access on Lock Screen / Off. Рекомендуется внести изменения в настройки конфигурации. Консультация содержит следующее замечание:
A spokesperson from Apple tells me that the company “takes security very seriously and we’re aware of this issue. We’ll deliver a fix in a future software update.
Продукт
Тип
Поставщик
Имя
Версия
Лицензия
Веб-сайт
- Поставщик: https://www.apple.com/
CPE 2.3
CPE 2.2
Видео
CVSSv4
VulDB Вектор: 🔍VulDB Надёжность: 🔍
CVSSv3
VulDB Meta Base Score: 4.0VulDB Meta Temp Score: 3.9
VulDB Базовый балл: 4.0
VulDB Временная оценка: 3.9
VulDB Вектор: 🔍
VulDB Надёжность: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍
Эксплуатация
Класс: эскалация привилегийCWE: CWE-358
CAPEC: 🔍
ATT&CK: 🔍
Физический: Частично
Локальный: Да
Удалённый: Нет
Доступность: 🔍
Доступ: публичный
Статус: Высокофункциональный
Автор: Jose Rodriguez
Надёжность: 🔍
Скачать: 🔍
Прогноз цен: 🔍
Оценка текущей цены: 🔍
| 0-Day | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
|---|---|---|---|---|
| Сегодня | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендация: ConfigСтатус: 🔍
Надёжность: 🔍
0-дневное время: 🔍
Задержка эксплуатации: 🔍
Config: Settings / Control Center / Access on Lock Screen / Off
Хронология
19.09.2013 🔍19.09.2013 🔍
24.09.2013 🔍
24.03.2019 🔍
Источники
Поставщик: apple.comКонсультация: iOS 7 Bug Lets Anyone Bypass iPhone's Lockscreen To Hijack Photos, Email, Or Twitter
Исследователь: Jose Rodriguez
Статус: Подтверждённый
GCVE (VulDB): GCVE-100-10458
OSVDB: 97533
scip Labs: https://www.scip.ch/en/?labs.20150917
Разное: 🔍
Вход
Создано: 24.09.2013 16:17Обновлено: 24.03.2019 15:33
Изменения: 24.09.2013 16:17 (59), 24.03.2019 15:33 (2)
Завершенный: 🔍
Коммиттер:
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Комментариев пока нет. Языки: ru + be + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.