📚 Wickr Secret Messenger 2.2.1 auf iOS Conversation Handler Copy and Paste Information Disclosure
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Es wurde eine Schwachstelle in Wickr Secret Messenger 2.2.1 auf iOS gefunden. Sie wurde als problematisch eingestuft. Hiervon betroffen ist eine unbekannte Funktion der Komponente Conversation Handler. Mit der Manipulation mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle (Copy and Paste) ausgenutzt werden. Das hat Auswirkungen auf die Vertraulichkeit.
Die Schwachstelle wurde am 27.10.2016 als Wickr Inc - When honesty disappears behind the VCP Mountain in Form eines bestätigten Blog Posts (Website) publik gemacht. Das Advisory kann von vulnerability-db.com heruntergeladen werden. Der Angriff hat dabei lokal zu erfolgen. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt.
Es wurde direkt nach dem Advisory ein Exploit veröffentlicht. Er wird als proof-of-concept gehandelt. Unter vulnerability-db.com wird der Exploit bereitgestellt.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Schwachstellen ähnlicher Art sind dokumentiert unter 93211, 93212, 93213 und 93214.
CVSSv3
Base Score: 3.3 [?]Temp Score: 3.2 [?]
Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N/E:P/RL:X/RC:C [?]
Zuverlässigkeit: High
CVSSv2
Base Score: 1.5 (CVSS2#AV:L/AC:M/Au:S/C:P/I:N/A:N) [?]Temp Score: 1.4 (CVSS2#E:POC/RL:ND/RC:C) [?]
Zuverlässigkeit: High
CPE
Exploiting
Klasse: Information DisclosureLokal: Ja
Remote: Nein
Verfügbarkeit: Ja
Zugang: öffentlich
Status: Proof-of-Concept
Download: vulnerability-db.com
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt0-Day Time: 0 Tage seit gefunden
Exploit Delay Time: 0 Tage seit bekannt
Timeline
27.10.2016 Advisory veröffentlicht27.10.2016 Exploit veröffentlicht
31.10.2016 VulDB Eintrag erstellt
31.10.2016 VulDB letzte Aktualisierung
Quellen
Advisory: Wickr Inc - When honesty disappears behind the VCP MountainStatus: Bestätigt
Siehe auch: 93211, 93212, 93213, 93214, 93215, 93217
Eintrag
Erstellt: 31.10.2016Eintrag: 76.3% komplett
...