Уязвимость обхода требований разрешений на доступ к интернету через ярлык в macOS, iOS, iPadOS и watchOS
Описание
Проблема решена путем добавления дополнительного запроса на согласие пользователя. Ярлык может обойти требования разрешений на доступ к интернету.
Затронутые версии ПО
- macOS Ventura < 13.6.8
- macOS Monterey < 12.7.6
- iOS < 17.6
- iPadOS < 17.6
- watchOS < 10.6
- macOS Sonoma < 14.6
Тип уязвимости
Обход защиты (требований разрешений на доступ к интернету)
Ссылки
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 17.6 (исключая)Версия до 17.6 (исключая)Версия до 12.7.6 (исключая)Версия от 13.0 (включая) до 13.6.8 (исключая)Версия от 14.0 (включая) до 14.6 (исключая)Версия до 10.6 (исключая)
Одно из
cpe:2.3:o:apple:ipados:*:*:*:*:*:*:*:*
cpe:2.3:o:apple:iphone_os:*:*:*:*:*:*:*:*
cpe:2.3:o:apple:macos:*:*:*:*:*:*:*:*
cpe:2.3:o:apple:macos:*:*:*:*:*:*:*:*
cpe:2.3:o:apple:macos:*:*:*:*:*:*:*:*
cpe:2.3:o:apple:watchos:*:*:*:*:*:*:*:*
EPSS
Процентиль: 4%
0.00019
Низкий
7.1 High
CVSS3
Дефекты
NVD-CWE-noinfo
Связанные уязвимости
CVSS3: 7.1
github
больше 1 года назад
This issue was addressed by adding an additional prompt for user consent. This issue is fixed in macOS Ventura 13.6.8, macOS Monterey 12.7.6, iOS 17.6 and iPadOS 17.6, watchOS 10.6, macOS Sonoma 14.6. A shortcut may be able to bypass Internet permission requirements.
EPSS
Процентиль: 4%
0.00019
Низкий
7.1 High
CVSS3
Дефекты
NVD-CWE-noinfo