| CVSS 元温度得分 | 当前攻击价格 (≈) | CTI兴趣分数 |
|---|---|---|
| 7.0 | $0-$5k | 0.00 |
在Apple Mac OS X 直到10.9.3 中已发现分类为致命的漏洞。 受此漏洞影响的是未知功能的组件Code Signing Handler。 手动调试的不合法输入可导致 弱加密。 漏洞的CWE定义是 CWE-310。 此漏洞的脆弱性 2014-10-16由公示人Christopher Hickstein、公示人所属公司Apple、公示人身份HT6535、公示人类型为公告 (Website)所公布。 阅读公告的网址是support.apple.com。
该漏洞被称作为CVE-2014-4391, CVE分配信息格式:2014-06-20。 无技术细节可用。 该漏洞的知名度低于平均水平, 没有可利用漏洞。 当前漏洞利用的价值为美元大约是$0-$5k 。 根据MITRE ATT&CK,此问题部署的攻击技术是T1600。 公告指出:
Apps signed on OS X prior to OS X Mavericks 10.9 or apps using custom resource rules, may have been susceptible to tampering that would not have invalidated the signature. On systems set to allow only apps from the Mac App Store and identified developers, a downloaded modified app could have been allowed to run as though it were legitimate. This issue was addressed by ignoring signatures of bundles with resource envelopes that omit resources that may influence execution.
它被宣布为未定义。 我们估计的零日攻击价值约为$5k-$25k。 漏洞扫描器Nessus提供了一个插件,插件ID为78550 (Mac OS X < 10.10 Multiple Vulnerabilities (POODLE) (Shellshock))有助于判断目标环境中是否存在缺陷, 它已分配至系列:MacOS X Local Security Checks,
升级到版本10.10能够解决此问题。 建议对受到影响的组件升级。 该漏洞被披露后,立即发表过可能的缓解措施。
该漏洞也记录在其他漏洞数据库中: SecurityFocus (BID 70637), X-Force (97644), SecurityTracker (ID 1031063), Vulnerability Center (SBV-46697) , Tenable (78550)。
产品
类型
供应商
名称
版本
许可证
支持
- end of life
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB 向量: 🔍
VulDB 可靠性: 🔍
CVSSv3
VulDB 元基础分数: 7.3VulDB 元温度得分: 7.0
VulDB 基本分数: 7.3
VulDB 温度得分: 7.0
VulDB 向量: 🔍
VulDB 可靠性: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 向量 | 复杂度 | 身份验证 | 保密 | 正直 | 可用性 |
|---|---|---|---|---|---|
| 开锁 | 开锁 | 开锁 | 开锁 | 开锁 | 开锁 |
| 开锁 | 开锁 | 开锁 | 开锁 | 开锁 | 开锁 |
| 开锁 | 开锁 | 开锁 | 开锁 | 开锁 | 开锁 |
VulDB 基本分数: 🔍
VulDB 温度得分: 🔍
VulDB 可靠性: 🔍
NVD 基本分数: 🔍
攻击
分类: 弱加密CWE: CWE-310
CAPEC: 🔍
ATT&CK: 🔍
本地: 否
远程: 是
可用性: 🔍
地位: Proof-of-Concept
下载: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
价格预测: 🔍
当前价格估算: 🔍
| 0-Day | 开锁 | 开锁 | 开锁 | 开锁 |
|---|---|---|---|---|
| 今天 | 开锁 | 开锁 | 开锁 | 开锁 |
Nessus ID: 78550
Nessus 名称: Mac OS X < 10.10 Multiple Vulnerabilities (POODLE) (Shellshock)
Nessus 文件: 🔍
Nessus 风险: 🔍
Nessus 家庭: 🔍
Exploit-DB: 🔍
威胁情报
利益: 🔍活跃演员: 🔍
活跃的 APT 团体: 🔍
对策
建议: 升级地位: 🔍
反应时间: 🔍
0天时间: 🔍
曝光时间: 🔍
升级: Mac OS X 10.10
时间轴
2014-06-20 🔍2014-10-16 🔍
2014-10-16 🔍
2014-10-16 🔍
2014-10-17 🔍
2014-10-17 🔍
2014-10-17 🔍
2014-10-17 🔍
2014-10-19 🔍
2022-02-23 🔍
来源
供应商: apple.com公告: HT6535
研究人员: Christopher Hickstein
组织机构: Apple
地位: 已确认
确认: 🔍
CVE: CVE-2014-4391 (🔍)
X-Force: 97644
SecurityTracker: 1031063 - Apple OS X Multiple Flaws Let Users Execute Arbitrary Code, Obtain Elevated Privileges, Bypass Security Restrictions, and Obtain Potentially Sensitive Information
Vulnerability Center: 46697 - Apple OS X Before 10.10 Remote Security Bypass due to an Error in the Code Signing Feature, Medium
SecurityFocus: 70637 - Apple Mac OS X CVE-2014-4391 Security Bypass Vulnerability
scip Labs: https://www.scip.ch/en/?labs.20150108
条目
已创建: 2014-10-17 10時22分已更新: 2022-02-23 14時27分
更改: 2014-10-17 10時22分 (70), 2017-06-09 07時19分 (11), 2022-02-23 14時27分 (4)
完整: 🔍
Cache ID: 18:BAF:103
暂时没有任何评论。 语言: zh + en.
请登录后发表评论。