📚 Wickr Secret Messenger 2.2.1 auf iOS/Android Audio Memo Siri erweiterte Rechte
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
In Wickr Secret Messenger 2.2.1 auf iOS/Android wurde eine Schwachstelle entdeckt. Sie wurde als problematisch eingestuft. Hierbei betrifft es eine unbekannte Funktion der Komponente Audio Memo. Dank der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (Siri) ausgenutzt werden. Auswirkungen sind zu beobachten für die Vertraulichkeit.
Die Schwachstelle wurde am 27.10.2016 als Wickr Inc - When honesty disappears behind the VCP Mountain in Form eines bestätigten Blog Posts (Website) an die Öffentlichkeit getragen. Bereitgestellt wird das Advisory unter vulnerability-db.com. Die Umsetzung des Angriffs hat dabei lokal zu erfolgen. Das Angehen einer einfachen Authentisierung ist erforderlich, um eine Ausnutzung anzugehen. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt.
Es wurde direkt nach dem Advisory ein Exploit veröffentlicht. Er wird als proof-of-concept gehandelt. Der Exploit wird unter vulnerability-db.com zur Verfügung gestellt.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Die Einträge 93211, 93212, 93213 und 93215 sind sehr ähnlich.
Video
Youtube: https://youtu.be/x19x26e2FsUCVSSv3
Base Score: 3.3 [?]Temp Score: 3.2 [?]
Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N/E:P/RL:X/RC:C [?]
Zuverlässigkeit: High
CVSSv2
Base Score: 1.5 (CVSS2#AV:L/AC:M/Au:S/C:P/I:N/A:N) [?]Temp Score: 1.4 (CVSS2#E:POC/RL:ND/RC:C) [?]
Zuverlässigkeit: High
CPE
Exploiting
Klasse: Erweiterte RechteLokal: Ja
Remote: Nein
Verfügbarkeit: Ja
Zugang: öffentlich
Status: Proof-of-Concept
Download: vulnerability-db.com
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt0-Day Time: 0 Tage seit gefunden
Exploit Delay Time: 0 Tage seit bekannt
Timeline
27.10.2016 Advisory veröffentlicht27.10.2016 Exploit veröffentlicht
31.10.2016 VulDB Eintrag erstellt
31.10.2016 VulDB letzte Aktualisierung
Quellen
Advisory: Wickr Inc - When honesty disappears behind the VCP MountainStatus: Bestätigt
Siehe auch: 93211, 93212, 93213, 93215, 93216, 93217
Eintrag
Erstellt: 31.10.2016Eintrag: 76.3% komplett
...