Apple Xcode < 4.4 の複数の脆弱性(Mac OS X)(BEAST)

medium Nessus プラグイン ID 61413
New! Vulnerability Priority Rating (VPR)

Tenable では、すべての脆弱性に対して動的な VPR が計算されます。VPR は脆弱性の情報を、脅威インテリジェンスや機械学習アルゴリズムと組み合わせて、攻撃時に最も悪用される可能性の高い脆弱性を予測します。詳細は、 「VPR とは何で、CVSS とはどう違うのか」を参照してください。

VPR スコア : 3.4

概要

リモートホストに、複数の脆弱性により影響を受けるアプリケーションがインストールされています。

説明

リモート Mac OS X ホストには、4.4 より前のバージョンの Apple Xcode がインストールされています。したがって、以下の複数の脆弱性による影響を受けます:

- 暗号ブロックチェーン(CBC)モードで動作している時に初期化ベクトル(IV)の選択方法に欠陥があるため、 BEAST として知られている情報漏洩脆の脆弱性が SSL 3.0 および TLS 1.0 プロトコルに存在します。中間者攻撃者がこれを悪用して、 HTML5 WebSocket API、Java URLConnection API、または Silverlight WebClient API を使用する JavaScript コードと連携して、HTTPS セッションでブロック選択境界攻撃(BCBA)を使用することにより平文 HTTP ヘッダーデータを取得できます。(CVE-2011-3389)

- 情報漏洩の脆弱性が存在し、特別に細工された App Store アプリケーションがキーチェーンの中のエントリを読み取る可能性があります。(CVE-2012-3698)

ソリューション

Apple Xcode バージョン 4.4 またはそれ以降にアップグレードしてください。

関連情報

http://support.apple.com/kb/HT5416

http://lists.apple.com/archives/security-announce/2012/Jul/msg00001.html

https://www.imperialviolet.org/2011/09/23/chromeandbeast.html

https://www.openssl.org/~bodo/tls-cbc.txt

プラグインの詳細

深刻度: Medium

ID: 61413

ファイル名: macosx_xcode_4_4.nasl

バージョン: 1.7

タイプ: local

エージェント: macosx

公開日: 2012/8/3

更新日: 2020/5/5

依存関係: macosx_xcode_installed.nasl

リスク情報

リスクファクター: Medium

VPR スコア: 3.4

CVSS スコアのソース: CVE-2012-3698

CVSS v2.0

Base Score: 5

Temporal Score: 3.7

ベクトル: AV:N/AC:L/Au:N/C:P/I:N/A:N

現状ベクトル: E:U/RL:OF/RC:C

CVSS v3.0

Base Score: 5.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

脆弱性の情報

CPE: cpe:/a:apple:xcode

必要な KB アイテム: Host/local_checks_enabled, Host/MacOSX/Version, installed_sw/Apple Xcode

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2012/7/25

脆弱性公開日: 2012/7/25

参照情報

CVE: CVE-2011-3389, CVE-2012-3698

BID: 49778, 54679

CERT: 864643