Lädt...

🕵️ Apple watchOS bis 3.1.2 WebKit erweiterte Rechte


Nachrichtenbereich: 🕵️ Sicherheitslücken
🔗 Quelle: vuldb.com

Eine kritische Schwachstelle wurde in Apple watchOS bis 3.1.2 ausgemacht. Dies betrifft eine unbekannte Funktion der Komponente WebKit. Durch die Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 23.01.2017 durch lokihardt von Google Project Zero als HT207487 in Form eines bestätigten Advisories (Website) veröffentlicht. Auf support.apple.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet als CVE-2017-2363 statt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 01/25/2017). Das Advisory weist darauf hin:

Multiple validation issues existed in the handling of page loading. This issue was addressed through improved logic.

Ein Upgrade auf die Version 3.1.3 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Apple hat hiermit unmittelbar reagiert.

Schwachstellen ähnlicher Art sind dokumentiert unter 95880, 95881, 95882 und 95883.

CVSSv3

Base Score: 6.3
Temp Score: 6.0
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L/E:X/RL:O/RC:C
Zuverlässigkeit: High

CVSSv2

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P)
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C)
Zuverlässigkeit: High

CPE

Exploiting

Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: watchOS 3.1.3

Timeline

23.01.2017 Advisory veröffentlicht
23.01.2017 Gegenmassnahme veröffentlicht
25.01.2017 VulDB Eintrag erstellt
25.01.2017 VulDB letzte Aktualisierung

Quellen

Advisory: HT207487
Person: lokihardt
Firma: Google Project Zero
Status: Bestätigt

CVE: CVE-2017-2363 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 95880, 95881, 95882, 95883, 95884, 95885, 95886, 95887, 95888, 95889, 95890, 95891, 95892, 95893

Eintrag

Erstellt: 25.01.2017
Eintrag: 74.4% komplett
...

matomo