検出

Apple iOS < 13.2の複数の脆弱性

high Nessus プラグイン ID 130461

Language:

概要

モバイルデバイスで実行中のApple iOSのバージョンは、複数の脆弱性による影響を受けます。

説明

モバイルデバイスで実行中のApple iOSのバージョンは、13.2より前です。したがって、複数の脆弱性の影響を受けます。
 - メモリリークの脆弱性がiOCアカウントにあり、リモートの攻撃者が特別に細工された入力を使用してこれを悪用する可能性があります。(CVE-2019-8787)

 - iOS Appストアに認証の脆弱性があり、ローカルの攻撃者が有効な認証情報なしに、以前ログインしたユーザーのアカウントにログインできる可能性があります。(CVE-2019-8803)

 - データ漏えいに脆弱なAssociated Domains。攻撃者がこの問題を悪用して不適切なURLを渡す可能性があります。URLの解析に問題がありました。(CVE-2019-8788)

 - iOS AudioおよびAVEVideoEncoderにメモリ破損の問題があります。アプリケーションがシステム権限で任意のコードを実行する可能性があります。(CVE-2019-8785、CVE-2019-8797、CVE-2019-8795)

 - iOS Booksのsymlinkの処理に、検証の問題がありました。悪意のある細工されたiBooksファイルを解析すると、ユーザー情報が漏えいする可能性があります。(CVE-2019-8789)

 - iOS Contactsに一貫性のないユーザーインターフェイスの問題があり、悪意のある連絡先を処理するとUIのなりすましにつながる可能性があります。(CVE-2017-7152)

 - iOSのファイルシステムイベント、グラフィックドライバー、カーネルにメモリ破損の問題があります。アプリケーションがシステム権限で任意のコードを実行する可能性があります。(CVE-2019-8798、CVE-2019-8784、CVE-2019-8786)

 - iOSカーネルに入力検証があります。アプリケーションが制限されたメモリを読み取る可能性があります。
 (CVE-2019-8794)

 - 一貫性のないWi-Fiネットワーク構成の脆弱性がiOS Setup Assistantにあります。物理的に近接する攻撃者が、デバイスのセットアップ中にユーザーを悪意のあるWi-Fiネットワークに誘導する可能性があります。(CVE-2019-8804)

 - iOS Screen Recordingが脆弱で、ローカルユーザーが画面記録インジケータの表示されていない画面を記録する可能性があります。(CVE-2019-8793)

 - ユーザー指定の入力がユーザーに返される前に不適切に検証されているため、iOS WebKitにクロスサイトスクリプティング(XSS)の脆弱性があります。悪意のある細工されたWebコンテンツを処理することで、ユニバーサルクロスサイトスクリプティングが引き起こされる可能性があります。(CVE-2019-8813)

 - 任意のコードが実行される脆弱性がiOS WebKitおよびWebKit Processing Modelにあります。悪意のある細工されたWebコンテンツを処理する間の複数のメモリ破損の脆弱性により、任意のコードが実行される可能性があります。
 (CVE-2019-8783、CVE-2019-8808、CVE-2019-8811、CVE-2019-8812、CVE-2019-8814、CVE-2019-8816、CVE-2019-8819、CVE-2019-8820、CVE-2019-8821、CVE-2019-8822、CVE-2019-8823、CVE-2019-8815、CVE-2019-8782)

 - 状態遷移の処理におけるロジックの問題により、Wi-Fiの範囲内の攻撃者が、ネットワークトラフィックの機密性を侵害する可能性があります。(CVE-2019-15126)

 - HTTPリファラーヘッダーにより、悪意を持って細工されたWebサイトに閲覧履歴が漏洩します。(CVE-2019-8827)

 - アプリケーションがカーネル権限で任意のコードを実行できるようにするメモリ破損の脆弱性が存在します。(CVE-2019-8829)

ソリューション

AppleiOSバージョン13.2以降にアップグレードしてください。

参考資料

https://support.apple.com/en-us/HT210721

プラグインの詳細

深刻度: High

ID: 130461

ファイル名: apple_ios_132_check.nbin

バージョン: 1.46

タイプ: local

ファミリー: Mobile Devices

公開日: 2019/11/1

更新日: 2024/4/8

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 9.3

現状値: 7.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2019-8829

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2019-8823

脆弱性情報

CPE: cpe:/o:apple:iphone_os

必要な KB アイテム: mdm/dependency/unlocked

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2019/10/28

脆弱性公開日: 2019/10/28

参照情報

CVE: CVE-2017-7152, CVE-2019-15126, CVE-2019-8782, CVE-2019-8783, CVE-2019-8784, CVE-2019-8785, CVE-2019-8786, CVE-2019-8787, CVE-2019-8788, CVE-2019-8789, CVE-2019-8793, CVE-2019-8794, CVE-2019-8795, CVE-2019-8797, CVE-2019-8798, CVE-2019-8803, CVE-2019-8804, CVE-2019-8808, CVE-2019-8811, CVE-2019-8812, CVE-2019-8813, CVE-2019-8814, CVE-2019-8815, CVE-2019-8816, CVE-2019-8819, CVE-2019-8820, CVE-2019-8821, CVE-2019-8822, CVE-2019-8823, CVE-2019-8827, CVE-2019-8829

BID: 103136