Apple iOS 7.1 trên iPhone 4/4s iCloud Account xác thực yếu

CVSS Điểm tạm thời meta	Giá khai thác hiện tại (≈)	Điểm quan tâm CTI
4.1	$0-$5k	0.00

Tóm tắtthông tin

Một điểm yếu phân loại là Có vấn đề đã xuất hiện trong Apple iOS 7.1 hoạt động trên iPhone 4/4s. Bị ảnh hưởng là một hàm không xác định của thành phần iCloud Account Handler. Quá trình thao tác gây ra xác thực yếu. Thêm vào đó, đã tồn tại mã khai thác. Khuyến nghị thay thế thành phần bị ảnh hưởng bằng một phương án thay thế.

Chi tiếtthông tin

Một điểm yếu phân loại là Có vấn đề đã xuất hiện trong Apple iOS 7.1 hoạt động trên iPhone 4/4s. Bị ảnh hưởng là một hàm không xác định của thành phần iCloud Account Handler. Quá trình thao tác gây ra xác thực yếu. Khai báo vấn đề bằng CWE sẽ dẫn tới CWE-287. Lỗ hổng này đã được phát hành vào ngày 02/04/2014 bởi Miguel Alvarado với mã Delete iCloud Account from iPhone without Password iOS 7.1 dưới loại Video (Youtube). Bạn có thể tải khuyến nghị này tại youtu.be. Bản phát hành công khai đã được thực hiện mà không phối hợp với nhà sản xuất.

Không có chi tiết kỹ thuật nào được cung cấp. Độ phổ biến của lỗ hổng này thấp hơn mức trung bình. Thêm vào đó, đã tồn tại mã khai thác. Khai thác đã được tiết lộ cho công chúng và có thể bị sử dụng. Hiện tại, giá cho một khai thác có thể vào khoảng USD $0-$5k.

Nếu có độ dài, thì nó được khai báo là bằng chứng khái niệm. Đường dẫn tải mã khai thác: youtu.be. Là 0-day, giá ước tính trên thị trường ngầm vào khoảng $25k-$100k.

Một biện pháp thay thế có thể là iPhone 5/Android. Khuyến nghị thay thế thành phần bị ảnh hưởng bằng một phương án thay thế.

Sản phẩmthông tin

Loại

• Smartphone Operating System

Nhà cung cấp

• Apple

Tên

• iOS

Phiên bản

• 7.1

Giấy phép

• thương mại

Trang web

• Nhà cung cấp: https://www.apple.com/

CPE 2.3thông tin

• 🔍

CPE 2.2thông tin

• 🔍

CVSSv4thông tin

VulDB Vector: 🔍
VulDB Độ tin cậy: 🔍

CVSSv3thông tin

VulDB Điểm cơ sở meta: 4.4
VulDB Điểm tạm thời meta: 4.1

VulDB Điểm cơ sở: 4.4
VulDB Điểm tạm thời: 4.1
VulDB Vector: 🔍
VulDB Độ tin cậy: 🔍

CVSSv2thông tin

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Véc-tơ	Độ phức tạp	Xác thực	Bí mật	Toàn vẹn	Khả dụng
Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa
Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa
Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa	Mở khóa

VulDB Điểm cơ sở: 🔍
VulDB Điểm tạm thời: 🔍
VulDB Độ tin cậy: 🔍

Khai thácthông tin

Lớp: Xác thực yếu
CWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍

Vật lý: Một phần
Cục bộ: Có
Từ xa: Không

Khả dụng: 🔍
Truy cập: Công khai
Trạng thái: Bằng chứng khái niệm
Tác giả: Miguel Alvarado
Tải xuống: 🔍
Dự đoán giá: 🔍
Ước tính giá hiện tại: 🔍

0-Day	Mở khóa	Mở khóa	Mở khóa	Mở khóa
Hôm nay	Mở khóa	Mở khóa	Mở khóa	Mở khóa

Tình báo mối đe dọathông tin

Sự quan tâm: 🔍
Diễn viên đang hoạt động: 🔍
Nhóm APT đang hoạt động: 🔍

Biện pháp đối phóthông tin

Khuyến nghị: Phương án thay thế
Trạng thái: 🔍

Thời gian 0-ngày: 🔍
Thời gian trễ khai thác: 🔍

Phương án thay thế: iPhone 5/Android

dòng thời gianthông tin

02/04/2014 🔍
02/04/2014 +0 ngày 🔍
07/04/2014 +5 ngày 🔍
01/04/2019 +1820 ngày 🔍

Nguồnthông tin

Nhà cung cấp: apple.com

Khuyến cáo: Delete iCloud Account from iPhone without Password iOS 7.1
Nhà nghiên cứu: Miguel Alvarado
Trạng thái: Không được định nghĩa

GCVE (VulDB): GCVE-100-12804
scip Labs: https://www.scip.ch/en/?labs.20150917
Khác: 🔍

mụcthông tin

Được tạo: 07/04/2014 09:53
Đã cập nhật: 01/04/2019 08:04
Thay đổi: 07/04/2014 09:53 (52), 01/04/2019 08:04 (2)
Hoàn chỉnh: 🔍
Cache ID: 216::103

Once again VulDB remains the best source for vulnerability data.

Thảo luận

Want to know what is going to be exploited?

We predict KEV entries!