VulDB: Apple iOS bis 5.1.1 WebKit erweiterte Rechte
Allgemein
scipID: 6506
Betroffen: Apple iOS bis 5.1.1
Veröffentlicht: 19.09.2012 (Sergey Glazunov)
Risiko: 
kritisch
Eintrag: 84.5% komplett
Erstellt: 21.09.2012
Beschreibung
Eine kritische Schwachstelle wurde in Apple iOS bis 5.1.1 ausgemacht. Dies betrifft eine unbekannte Funktion der Komponente WebKit. Mittels Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 19.09.2012 durch Sergey Glazunov als APPLE-SA-2012-09-19-1 in Form eines Postings veröffentlicht. Auf prod.lists.apple.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 09.08.2011 als CVE-2011-3067 statt. Der Angriff kann über das Netzwerk passieren. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.
Ein Upgrade auf die Version 6.0 vermag dieses Problem zu beheben. Das Problem kann auch durch den Einsatz von Google Android als alternatives Produkt mitigiert werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle. Apple hat demnach vorab reagiert. Auf Deutsch berichtet mitunter Heise zum Fall.CVSS
Base Score: 8.5 (CVSS2#AV:N/AC:M/Au:S/C:C/I:C/A:C) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Gegenmassnahmen
Empfehlung: Upgrade
0-Day Time: 0 Tage seit gefunden
Upgrade: iOS 6.0
Alternative: Google Android
Timeline
09.08.2011 | CVE zugewiesen
19.09.2012 | Gegenmassnahme veröffentlicht
19.09.2012 | Advisory veröffentlicht
21.09.2012 | VulDB Eintrag erstellt
21.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: APPLE-SA-2012-09-19-1
Person: Sergey Glazunov
Bestätigung: support.apple.com
CVE: CVE-2011-3067 (mitre.org) (nist.org) (cvedetails.com)
Heise: 1711439
- Letzte Einträge
- EMC RSA Authentication API Encryption Key Information Disclosure
- Cisco Secure Access Control System Web Interface schwache Authentisierung
- Python ssl.match_hostname() Denial of Service
- Mozilla Firefox/Thunderbird nsContentUtils::RemoveScriptBlocker Pufferüberlauf
- Mozilla Firefox/Thunderbird nsFrameList::FirstChild Pufferüberlauf
- Statistiken
- Archiv
