検出

Apple TV < 7.1 複数の脆弱性(FREAK)

critical Nessus プラグイン ID 81790

Language:

概要

複数の脆弱性がリモートディバイスに影響を与えています。

説明

バナーによると、Apple TV リモートデバイスが、7.1 より前のバージョンです。したがって、次の脆弱性の影響を受けます:

- 任意のコード実行を可能にする「IOSurface」およびシリアル化されたオブジェクトの処理に関連する型の取り違え(Type Confusion)のエラーが存在します。(CVE-2015-1061)

- 「MobileStorageMounter」に開発者のディスクマウントロジックおよび無効なディスクイメージフォルダに関連するエラーが存在し、悪意のあるアプリケーションが信頼できるロケーションにフォルダを作成することが可能になります。(CVE-2015-1062)

- FREAK(RSA-EXPORT キーに対するファクター攻撃)と呼ばれるセキュリティ機能のバイパスの脆弱性が存在します。これは、512 ビッド以下のキーで弱い EXPORT_RSA 暗号化パッケージがサポートされているため、存在します。中間者攻撃により、EXPORT_RSA 暗号化パッケージを使用するように SSL/TLS 接続をダウングレードすることができ、これは短時間でファクタリング可能であり、攻撃者がトラフィックを傍受したり復号したりするおそれがあります。(CVE-2015-1067)

ソリューション

Apple TV 7.1 またはそれ以降にアップグレードしてください。この更新が利用可能なのは、第 3 世代とそれ以降のモデルに限られていますので注意してください。

参考資料

https://support.apple.com/en-us/HT204426

http://www.nessus.org/u?260d1940

https://www.smacktls.com/#freak

プラグインの詳細

深刻度: Critical

ID: 81790

ファイル名: appletv_7_1.nasl

バージョン: 1.14

タイプ: remote

ファミリー: Misc.

公開日: 2015/3/12

更新日: 2019/11/22

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 9.3

現状値: 6.9

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2015-1061

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:apple:apple_tv

必要な KB アイテム: AppleTV/Version, AppleTV/URL, AppleTV/Port

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2015/3/9

脆弱性公開日: 2015/3/6

参照情報

CVE: CVE-2015-1061, CVE-2015-1062, CVE-2015-1067

BID: 73003, 73004, 73009

APPLE-SA: APPLE-SA-2015-03-09-2

CERT: 243585