Уязвимость обхода HSTS для определённых доменов верхнего уровня в продуктах Apple
Описание
Возникает проблема в конфигурации, которая позволяет злоумышленнику с привилегированным сетевым положением обходить HSTS (HTTP Strict Transport Security) для ограниченного числа конкретных доменов верхнего уровня, ранее не включённых в список предзагрузки HSTS.
Затронутые версии ПО
- tvOS 13.3
- watchOS 6.1.1
- iCloud для Windows 10.9
- macOS Catalina 10.15.2
- Обновление безопасности 2019-002 для Mojave
- Обновление безопасности 2019-007 для High Sierra
- iOS 13.3 и iPadOS 13.3
- iTunes 12.10.3 для Windows
- iCloud для Windows 7.16
Тип уязвимости
Конфигурационная уязвимость, позволяющая обход HSTS
Ссылки
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
Уязвимые конфигурации
Одно из
EPSS
4.3 Medium
CVSS3
4 Medium
CVSS2
Дефекты
Связанные уязвимости
A configuration issue was addressed with additional restrictions. This issue is fixed in tvOS 13.3, watchOS 6.1.1, iCloud for Windows 10.9, macOS Catalina 10.15.2, Security Update 2019-002 Mojave, and Security Update 2019-007 High Sierra, iOS 13.3 and iPadOS 13.3, iTunes 12.10.3 for Windows, iCloud for Windows 7.16. An attacker in a privileged network position may be able to bypass HSTS for a limited number of specific top-level domains previously not in the HSTS preload list.
EPSS
4.3 Medium
CVSS3
4 Medium
CVSS2