📚 Apple iOS bis 10.1.1 Find My iPhone erweiterte Rechte
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
In Apple iOS bis 10.1.1 wurde eine Schwachstelle entdeckt. Sie wurde als problematisch eingestuft. Betroffen ist eine unbekannte Funktion der Komponente Find My iPhone. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 12.12.2016 als HT207422 in Form eines bestätigten Advisories (Website) an die Öffentlichkeit getragen. Bereitgestellt wird das Advisory unter support.apple.com. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2016-7638 vorgenommen. Sie ist leicht auszunutzen. Die Umsetzung des Angriffs hat dabei lokal zu erfolgen. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $5k-$25k kostet. Das Advisory weist darauf hin:
A state management issue existed in the handling of authentication information. This issue was addressed through improved storage of account information.
Ein Upgrade auf die Version 10.2 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Apple hat offensichtlich unmittelbar reagiert.
Schwachstellen ähnlicher Art sind dokumentiert unter 94129, 94130, 94131 und 94134.
CVSSv3
Base Score: 5.3 [?]Temp Score: 5.1 [?]
Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:C [?]
Zuverlässigkeit: High
CVSSv2
Base Score: 4.3 (CVSS2#AV:L/AC:L/Au:S/C:P/I:P/A:P) [?]Temp Score: 3.7 (CVSS2#E:ND/RL:OF/RC:C) [?]
Zuverlässigkeit: High
CPE
Exploiting
Klasse: Erweiterte RechteLokal: Ja
Remote: Nein
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: iOS 10.2
Timeline
12.12.2016 Advisory veröffentlicht12.12.2016 Gegenmassnahme veröffentlicht
13.12.2016 VulDB Eintrag erstellt
13.12.2016 VulDB letzte Aktualisierung
Quellen
Advisory: HT207422Status: Bestätigt
CVE: CVE-2016-7638 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 94129, 94130, 94131, 94134, 94135, 94136, 94137, 94138, 94139, 94140
Eintrag
Erstellt: 13.12.2016Eintrag: 74% komplett
...