📚 Apple iOS bis 9.3.1 MapKit schwache Verschlüsselung
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Eine kritische Schwachstelle wurde in Apple iOS bis 9.3.1 gefunden. Es geht hierbei um eine unbekannte Funktion der Komponente MapKit. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 16.05.2016 von LinkedIn als HT206568 in Form eines bestätigten Advisories (Website) herausgegeben. Auf support.apple.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-1842 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Das Advisory weist darauf hin:
Shared links were sent with HTTP rather than HTTPS. This was addressed by enabling HTTPS for shared links.
Ein Aktualisieren auf die Version 9.3.2 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Apple hat so unmittelbar gehandelt.
Mit dieser Schwachstelle verwandte Einträge finden sich unter 87482, 87492, 87493 und 87494.
CVSS
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]
CPE
Exploiting
Klasse: Schwache Verschlüsselung
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $25k-$50k (0-day) / $5k-$10k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: iOS 9.3.2
Timeline
16.05.2016 Advisory veröffentlicht
16.05.2016 Gegenmassnahme veröffentlicht
18.05.2016 VulDB Eintrag erstellt
18.05.2016 VulDB Eintrag aktualisiert
Quellen
Advisory: HT206568
Firma: LinkedIn
Status: Bestätigt
CVE: CVE-2016-1842 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 87482, 87492, 87493, 87494, 87495, 87496, 87497, 87498, 87499, 87500, 87501, 87502, 87503 , 87504
Eintrag
Erstellt: 18.05.2016
Eintrag: 76.8% komplett
...