📚 Wickr Secret Messenger 2.2.1 auf iOS Authentication Siri erweiterte Rechte
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Es wurde eine Schwachstelle in Wickr Secret Messenger 2.2.1 auf iOS entdeckt. Sie wurde als problematisch eingestuft. Dabei betrifft es eine unbekannte Funktion der Komponente Authentication. Durch Beeinflussen mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (Siri) ausgenutzt werden. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 27.10.2016 als Wickr Inc - When honesty disappears behind the VCP Mountain in Form eines bestätigten Blog Posts (Website) publiziert. Das Advisory kann von vulnerability-db.com heruntergeladen werden. Der Angriff muss lokal erfolgen. Um eine Ausnutzung durchzusetzen, muss eine einfache Authentisierung umgesetzt werden. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt.
Es wurde direkt nach dem Advisory ein Exploit veröffentlicht. Er wird als proof-of-concept gehandelt. Der Exploit wird unter vulnerability-db.com bereitgestellt.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Mit dieser Schwachstelle verwandte Einträge finden sich unter 93211, 93212, 93214 und 93215.
Video
Youtube: https://youtu.be/CSlU9zDtABcCVSSv3
Base Score: 5.3 [?]Temp Score: 5.0 [?]
Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:C [?]
Zuverlässigkeit: High
CVSSv2
Base Score: 4.1 (CVSS2#AV:L/AC:M/Au:S/C:P/I:P/A:P) [?]Temp Score: 3.7 (CVSS2#E:POC/RL:ND/RC:C) [?]
Zuverlässigkeit: High
CPE
Exploiting
Klasse: Erweiterte RechteLokal: Ja
Remote: Nein
Verfügbarkeit: Ja
Zugang: öffentlich
Status: Proof-of-Concept
Download: vulnerability-db.com
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt0-Day Time: 0 Tage seit gefunden
Exploit Delay Time: 0 Tage seit bekannt
Timeline
27.10.2016 Advisory veröffentlicht27.10.2016 Exploit veröffentlicht
31.10.2016 VulDB Eintrag erstellt
31.10.2016 VulDB letzte Aktualisierung
Quellen
Advisory: Wickr Inc - When honesty disappears behind the VCP MountainStatus: Bestätigt
Siehe auch: 93211, 93212, 93214, 93215, 93216, 93217
Eintrag
Erstellt: 31.10.2016Eintrag: 76.3% komplett
...