📚 Wickr Secret Messenger 2.2.1 auf iOS Authentication Siri erweiterte Rechte

🕛 Zeit seit Veröffentlichung: 2718 Tage, 22 Stunden 43 Minuten
📆 Veröffentlicht am: 27.10.2016 um 02:00 Uhr
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com

Es wurde eine Schwachstelle in Wickr Secret Messenger 2.2.1 auf iOS entdeckt. Sie wurde als problematisch eingestuft. Dabei betrifft es eine unbekannte Funktion der Komponente Authentication. Durch Beeinflussen mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (Siri) ausgenutzt werden. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 27.10.2016 als Wickr Inc - When honesty disappears behind the VCP Mountain in Form eines bestätigten Blog Posts (Website) publiziert. Das Advisory kann von vulnerability-db.com heruntergeladen werden. Der Angriff muss lokal erfolgen. Um eine Ausnutzung durchzusetzen, muss eine einfache Authentisierung umgesetzt werden. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt.

Es wurde direkt nach dem Advisory ein Exploit veröffentlicht. Er wird als proof-of-concept gehandelt. Der Exploit wird unter vulnerability-db.com bereitgestellt.

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

Mit dieser Schwachstelle verwandte Einträge finden sich unter 93211, 93212, 93214 und 93215.

Video

Youtube: https://youtu.be/CSlU9zDtABc

CVSSv3

Base Score: 5.3 [?]
Temp Score: 5.0 [?]
Vector: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:C [?]
Zuverlässigkeit: High

CVSSv2

Base Score: 4.1 (CVSS2#AV:L/AC:M/Au:S/C:P/I:P/A:P) [?]
Temp Score: 3.7 (CVSS2#E:POC/RL:ND/RC:C) [?]
Zuverlässigkeit: High

CPE

cpe:/a:wickr:secret_messenger:2.2.1

Exploiting

Klasse: Erweiterte Rechte
Lokal: Ja
Remote: Nein

Verfügbarkeit: Ja
Zugang: öffentlich
Status: Proof-of-Concept
Download: vulnerability-db.com

Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)

Gegenmassnahmen

Empfehlung: keine Massnahme bekannt
0-Day Time: 0 Tage seit gefunden
Exploit Delay Time: 0 Tage seit bekannt

Timeline

27.10.2016 Advisory veröffentlicht
27.10.2016 Exploit veröffentlicht
31.10.2016 VulDB Eintrag erstellt
31.10.2016 VulDB letzte Aktualisierung

Quellen

Advisory: Wickr Inc - When honesty disappears behind the VCP Mountain
Status: Bestätigt
Siehe auch: 93211, 93212, 93214, 93215, 93216, 93217

Eintrag

Erstellt: 31.10.2016
Eintrag: 76.3% komplett
...

🏠 Team IT Security News