Уязвимость использования приложением произвольных привилегий (entitlements) в продуктах Apple из-за логической ошибки
Описание
Проблема с логикой была исправлена за счет улучшенного управления состоянием. Уязвимость позволяла приложению использовать произвольные привилегии (entitlements).
Затронутые версии ПО
- tvOS до версии 16.2
- macOS Monterey до версии 12.6.2
- macOS Ventura до версии 13.1
- iOS до версии 15.7.2 и 16.2
- iPadOS до версии 15.7.2 и 16.2
Тип уязвимости
Использование произвольных привилегий
Ссылки
- Third Party AdvisoryVDB Entry
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Third Party AdvisoryVDB Entry
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 15.7.2 (исключая)Версия от 16.0 (включая) до 16.2 (исключая)Версия до 15.7.2 (исключая)Версия от 16.0 (включая) до 16.2 (исключая)Версия до 12.6.2 (исключая)Версия до 16.2 (исключая)
Одно из
cpe:2.3:o:apple:ipados:*:*:*:*:*:*:*:*
cpe:2.3:o:apple:ipados:*:*:*:*:*:*:*:*
cpe:2.3:o:apple:iphone_os:*:*:*:*:*:*:*:*
cpe:2.3:o:apple:iphone_os:*:*:*:*:*:*:*:*
cpe:2.3:o:apple:macos:*:*:*:*:*:*:*:*
cpe:2.3:o:apple:macos:13.0:*:*:*:*:*:*:*
cpe:2.3:o:apple:tvos:*:*:*:*:*:*:*:*
EPSS
Процентиль: 16%
0.00051
Низкий
7.1 High
CVSS3
Дефекты
NVD-CWE-noinfo
CWE-269
Связанные уязвимости
CVSS3: 7.1
github
около 3 лет назад
A logic issue was addressed with improved state management. This issue is fixed in tvOS 16.2, macOS Monterey 12.6.2, macOS Ventura 13.1, iOS 15.7.2 and iPadOS 15.7.2, iOS 16.2 and iPadOS 16.2. An app may be able to use arbitrary entitlements.
EPSS
Процентиль: 16%
0.00051
Низкий
7.1 High
CVSS3
Дефекты
NVD-CWE-noinfo
CWE-269