CVE-2017-2383

Опубликовано: 02 апр. 2017

Источник: nvd

CVSS3: 3.1

CVSS2: 3.5

EPSS Низкий

Уязвимость передачи сертификата клиента в открытом виде в компоненте "APNs Server" в ряде продуктов Apple

Описание

Обнаружена уязвимость в некоторых продуктах Apple, вызывающая передачу клиентского сертификата в открытом виде в компоненте "APNs Server". Это позволяет злоумышленникам проводить атаку типа "человек посередине" для отслеживания пользователей через корреляцию с этим сертификатом.

Затронутые версии ПО

iCloud до версии 6.2 на Windows
iTunes до версии 12.6 на Windows

Тип уязвимости

Передача конфиденциальной информации в открытом виде

Ссылки

CWE-319: Cleartext Transmission of Sensitive Information

Ссылки

http://www.securityfocus.com/bid/97175
Third Party Advisory
VDB Entry
http://www.securitytracker.com/id/1038157
https://support.apple.com/HT207599
Vendor Advisory
https://support.apple.com/HT207607
Vendor Advisory
http://www.securityfocus.com/bid/97175
Third Party Advisory
VDB Entry
http://www.securitytracker.com/id/1038157
https://support.apple.com/HT207599
Vendor Advisory
https://support.apple.com/HT207607
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:apple:icloud:*:*:*:*:*:*:*:*

Версия до 6.1.1 (включая)

cpe:2.3:a:apple:itunes:*:*:*:*:*:*:*:*

Версия до 12.5.5.5 (включая)

EPSS

Процентиль: 35%

0.00145

Низкий

3.1 Low

CVSS3

3.5 Low

CVSS2

Дефекты

NVD-CWE-Other

Связанные уязвимости

GHSA-crwx-qjww-2w2r

CVSS3: 3.1

github

больше 3 лет назад

An issue was discovered in certain Apple products. iCloud before 6.2 on Windows is affected. iTunes before 12.6 on Windows is affected. The issue involves cleartext client-certificate transmission in the "APNs Server" component. It allows man-in-the-middle attackers to track users via correlation with this certificate.

BDU:2017-00916

fstec

почти 9 лет назад

Уязвимость мультимедийного проигрывателя iTunes, позволяющая нарушителю отслеживать пользователей