Apple macOS 10.12.0 Security Пароль эскалация привилегий

CVSS Meta Temp ScoreТекущая цена эксплойта (≈)Балл интереса CTI
3.2$0-$5k0.00

СводкаИнформация

В Apple macOS 10.12.0 была найдена уязвимость, классифицированная как проблематичный. Вовлечена неизвестная функция компонента Безопасность. Манипуляция приводит к эскалация привилегий (Пароль). Эта уязвимость обрабатывается как CVE-2016-4670. Атака должна осуществляться локально. Эксплойт отсутствует. Рекомендуется обновить затронутый компонент.

ПодробностиИнформация

В Apple macOS 10.12.0 была найдена уязвимость, классифицированная как проблематичный. Вовлечена неизвестная функция компонента Безопасность. Манипуляция приводит к эскалация привилегий (Пароль). Использование CWE для описания проблемы приводит к CWE-255. Слабость была опубликована 24.10.2016 специалистом Daniel Jalkut под идентификатором HT207275 как Консультация (Веб-сайт). Консультация доступна для скачивания по адресу support.apple.com.

Эта уязвимость обрабатывается как CVE-2016-4670. Назначение CVE произошло 11.05.2016. Атака должна осуществляться локально. Технические подробности отсутствуют. Популярность этой уязвимости ниже среднего. Эксплойт отсутствует. На данный момент актуальная стоимость эксплойта может быть около USD $0-$5k. В проекте MITRE ATT&CK эта техника атаки обозначена как T1552. В рекомендациях указано следующее:

A logging issue existed in the handling of passwords. This issue was addressed by removing password length logging.

Присвоено значение Не определено. В 0-дневный период предполагаемая подземная цена составляла около $0-$5k. Сканер Nessus предлагает плагин с идентификатором 94253. Он относится к семейству MacOS X Local Security Checks. Плагин запущен в контексте типа c.

Обновление до версии 10.12.1 позволяет устранить данную проблему. Рекомендуется обновить затронутый компонент.

Данная уязвимость также присутствует в других базах данных уязвимостей: SecurityFocus (BID 94433) и Tenable (94253).

ПродуктИнформация

Тип

Поставщик

Имя

Версия

Лицензия

Веб-сайт

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 3.3
VulDB Meta Temp Score: 3.2

VulDB Базовый балл: 3.3
VulDB Временная оценка: 3.2
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 3.3
NVD Вектор: 🔍

CVSSv2Информация

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Имя: Password
Класс: эскалация привилегий / Password
CWE: CWE-255
CAPEC: 🔍
ATT&CK: 🔍

Физический: Частично
Локальный: Да
Удалённый: Нет

Доступность: 🔍
Статус: Не определено

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-DayРазблокироватьРазблокироватьРазблокироватьРазблокировать
СегодняРазблокироватьРазблокироватьРазблокироватьРазблокировать

Nessus ID: 94253
Nessus Имя: macOS 10.12.x < 10.12.1 Multiple Vulnerabilities
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍
Nessus Context: 🔍

OpenVAS ID: 801105
OpenVAS Имя: Apple Mac OS X Multiple Vulnerabilities-03 February-2017
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Обновление
Статус: 🔍

Время реакции: 🔍
0-дневное время: 🔍
Время экспозиции: 🔍

Обновление: macOS 10.12.1

ХронологияИнформация

11.05.2016 🔍
24.10.2016 +166 дни 🔍
24.10.2016 +0 дни 🔍
25.10.2016 +1 дни 🔍
25.10.2016 +0 дни 🔍
21.11.2016 +27 дни 🔍
20.02.2017 +91 дни 🔍
17.05.2019 +816 дни 🔍

ИсточникиИнформация

Поставщик: apple.com

Консультация: HT207275
Исследователь: Daniel Jalkut
Статус: Подтверждённый
Подтверждение: 🔍

CVE: CVE-2016-4670 (🔍)
GCVE (CVE): GCVE-0-2016-4670
GCVE (VulDB): GCVE-100-93071
SecurityFocus: 94433 - Apple iOS and Mac OS CVE-2016-4670 Local Security Bypass Vulnerability

scip Labs: https://www.scip.ch/en/?labs.20180712
Смотрите также: 🔍

ВходИнформация

Создано: 25.10.2016 09:12
Обновлено: 17.05.2019 17:03
Изменения: 25.10.2016 09:12 (59), 17.05.2019 17:03 (25)
Завершенный: 🔍
Cache ID: 216::103

Be aware that VulDB is the high quality source for vulnerability data.

Обсуждение

Do you want to use VulDB in your project?

Use the official API to access entries easily!