🕵️ Apple watchOS bis 3.1.2 WebKit erweiterte Rechte
Nachrichtenbereich: 🕵️ Sicherheitslücken
🔗 Quelle: vuldb.com
Eine kritische Schwachstelle wurde in Apple watchOS bis 3.1.2 ausgemacht. Dies betrifft eine unbekannte Funktion der Komponente WebKit. Durch die Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 23.01.2017 durch lokihardt von Google Project Zero als HT207487 in Form eines bestätigten Advisories (Website) veröffentlicht. Auf support.apple.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet als CVE-2017-2363 statt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 01/25/2017). Das Advisory weist darauf hin:
Multiple validation issues existed in the handling of page loading. This issue was addressed through improved logic.
Ein Upgrade auf die Version 3.1.3 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Apple hat hiermit unmittelbar reagiert.
Schwachstellen ähnlicher Art sind dokumentiert unter 95880, 95881, 95882 und 95883.
CVSSv3
Base Score: 6.3Temp Score: 6.0
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L/E:X/RL:O/RC:C
Zuverlässigkeit: High
CVSSv2
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P)Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C)
Zuverlässigkeit: High
CPE
Exploiting
Klasse: Erweiterte RechteLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: watchOS 3.1.3
Timeline
23.01.2017 Advisory veröffentlicht23.01.2017 Gegenmassnahme veröffentlicht
25.01.2017 VulDB Eintrag erstellt
25.01.2017 VulDB letzte Aktualisierung
Quellen
Advisory: HT207487Person: lokihardt
Firma: Google Project Zero
Status: Bestätigt
CVE: CVE-2017-2363 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 95880, 95881, 95882, 95883, 95884, 95885, 95886, 95887, 95888, 95889, 95890, 95891, 95892, 95893
Eintrag
Erstellt: 25.01.2017Eintrag: 74.4% komplett
...