Уязвимость некорректной верификации X.509 сертификатов в WKWebView и Safari в Apple iOS и iTunes, позволяющая производить подмену серверов и получать конфиденциальную информацию
Описание
WKWebView в WebKit в Apple iOS, версиях до 10, iTunes версиях до 12.5.1 на Windows и Safari версиях до 10, некорректно верифицирует X.509 сертификаты от HTTPS серверов. Это позволяет злоумышленникам производить подмену серверов с помощью специально созданных сертификатов и получать конфиденциальную информацию.
Затронутые версии ПО
- Apple iOS до версии 10
- iTunes на Windows до версии 12.5.1
- Safari до версии 10
Тип уязвимости
- Подмена серверов (спуфинг)
- Получение конфиденциальной информации
Ссылки
- Mailing ListVendor Advisory
- Mailing ListVendor Advisory
- Mailing ListVendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Mailing ListVendor Advisory
- Mailing ListVendor Advisory
- Mailing ListVendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одновременно
Одно из
EPSS
6.8 Medium
CVSS3
4.9 Medium
CVSS2
Дефекты
Связанные уязвимости
WKWebView in WebKit in Apple iOS before 10, iTunes before 12.5.1 on Windows, and Safari before 10 does not properly verify X.509 certificates from HTTPS servers, which allows man-in-the-middle attackers to spoof servers and obtain sensitive information via a crafted certificate.
WKWebView in WebKit in Apple iOS before 10, iTunes before 12.5.1 on Windows, and Safari before 10 does not properly verify X.509 certificates from HTTPS servers, which allows man-in-the-middle attackers to spoof servers and obtain sensitive information via a crafted certificate.
EPSS
6.8 Medium
CVSS3
4.9 Medium
CVSS2