Уязвимость использования чувствительных данных через ярлыки без запроса пользователю в macOS, iOS и iPadOS
Описание
Проблема была устранена путем внедрения дополнительных проверок разрешений. Ярлык мог использовать чувствительные данные при выполнении определенных действий без уведомления пользователя.
Затронутые версии ПО
- macOS Sonoma < 14.3
- iOS < 17.3
- iPadOS < 17.3
Тип уязвимости
Неавторизованный доступ к чувствительным данным
Ссылки
- Third Party Advisory
- Third Party Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Third Party Advisory
- Third Party Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 17.0 (исключая) до 17.3 (исключая)Версия от 17.0 (исключая) до 17.3 (исключая)Версия до 14.3 (исключая)
Одно из
cpe:2.3:o:apple:ipados:*:*:*:*:*:*:*:*
cpe:2.3:o:apple:iphone_os:*:*:*:*:*:*:*:*
cpe:2.3:o:apple:macos:*:*:*:*:*:*:*:*
EPSS
Процентиль: 39%
0.00176
Низкий
7.5 High
CVSS3
Дефекты
NVD-CWE-noinfo
Связанные уязвимости
CVSS3: 7.5
github
около 2 лет назад
The issue was addressed with additional permissions checks. This issue is fixed in macOS Sonoma 14.3, iOS 17.3 and iPadOS 17.3. A shortcut may be able to use sensitive data with certain actions without prompting the user.
CVSS3: 7.5
fstec
около 2 лет назад
Уязвимость компонента Shortcuts операционных систем iOS, macOS, iPadOS, позволяющая нарушителю раскрыть защищаемую информацию
EPSS
Процентиль: 39%
0.00176
Низкий
7.5 High
CVSS3
Дефекты
NVD-CWE-noinfo