检测

Apple iOS < 13.2 多个漏洞

high Nessus 插件 ID 130461

语言:

简介

移动设备上运行的 Apple iOS 版本受到多个漏洞影响。

描述

移动设备上运行的 Apple iOS 版本低于 13.2。因此,该主机受到多个漏洞的影响。
 - iOS 帐户中存在内存泄露漏洞,远程攻击者可通过特别构建的输入来利用此漏洞。(CVE-2019-8787)

 - iOS App 商店中存在身份验证漏洞,本地攻击者可在没有有效凭据的情况下登录先前登录的用户帐户。(CVE-2019-8803)

 - 相关域容易遭受数据外泄。攻击者可通过不当 URL 利用此问题。URL 的解析中存在问题。(CVE-2019-8788)

 - iOS Audio 和 AVEVideoEncoder 中存在内存损坏问题。应用程序可能以系统权限执行任意代码。(CVE-2019-8785、CVE-2019-8797、CVE-2019-8795)

 - 处理 iOS Books 中的 symlink 时存在验证问题。解析恶意构建的 iBooks 文件可能导致用户信息泄露。(CVE-2019-8789)

 - iOS 联系人中存在不一致的用户界面问题,处理恶意联系人可导致 UI 欺骗。(CVE-2017-7152)

 - iOS 文件系统事件、图形卡驱动程序、内核中存在内存损坏问题。应用程序可能以系统权限执行任意代码。(CVE-2019-8798、CVE-2019-8784、CVE-2019-8786)

 - iOS 内核中存在输入验证问题。应用程序可以读取受限内存。
 (CVE-2019-8794)

 - iOS“设置助理”的 Wi-Fi 网络配置中存在的不一致问题易受到影响。物理邻近攻击者能够迫使用户在设备设置期间进行恶意 Wi-Fi 连接。(CVE-2019-8804)

 - iOS 屏幕录制容易受到攻击,本地用户也许能够录制屏幕,而无需可见的屏幕录制指示器。(CVE-2019-8793)

 - 由于在将用户提供的输入返回给用户前未对其进行正确验证,导致 iOS WebKit 中存在跨站脚本 (XSS) 漏洞。处理恶意构建的 Web 内容可能会导致通用跨站脚本攻击。(CVE-2019-8813)

 - iOS WebKit 和 WebKit 处理模型中存在任意代码执行漏洞。处理恶意构建的 Web 内容时,多个内存损坏可能导致任意代码执行。
 (CVE-2019-8783、CVE-2019-8808、CVE-2019-8811、CVE-2019-8812、CVE-2019-8814、CVE-2019-8816、CVE-2019-8819、CVE-2019-8820、CVE-2019-8821、CVE-2019-8822、CVE-2019-8823、CVE-2019-8815、CVE-2019-8782)

 - 处理状态过渡时存在逻辑问题,可允许 Wi-Fi 范围内的攻击者危害网络流量的某一机密性。(CVE-2019-15126)

 - HTTP 引荐来源标头向恶意构建的网站泄露浏览历史记录。(CVE-2019-8827)

 - 存在一个内存损坏漏洞,可允许应用程序以内核权限执行任意代码。(CVE-2019-8829)

解决方案

升级到 Apple iOS 版本 13.2 或更高版本。

另见

https://support.apple.com/en-us/HT210721

插件详情

严重性: High

ID: 130461

文件名: apple_ios_132_check.nbin

版本: 1.46

类型: local

发布时间: 2019/11/1

最近更新时间: 2024/4/8

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 9.3

时间分数: 7.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2019-8829

CVSS v3

风险因素: High

基本分数: 8.8

时间分数: 7.9

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS 分数来源: CVE-2019-8823

漏洞信息

CPE: cpe:/o:apple:iphone_os

必需的 KB 项: mdm/dependency/unlocked

可利用: true

易利用性: Exploits are available

补丁发布日期: 2019/10/28

漏洞发布日期: 2019/10/28

参考资料信息

CVE: CVE-2017-7152, CVE-2019-15126, CVE-2019-8782, CVE-2019-8783, CVE-2019-8784, CVE-2019-8785, CVE-2019-8786, CVE-2019-8787, CVE-2019-8788, CVE-2019-8789, CVE-2019-8793, CVE-2019-8794, CVE-2019-8795, CVE-2019-8797, CVE-2019-8798, CVE-2019-8803, CVE-2019-8804, CVE-2019-8808, CVE-2019-8811, CVE-2019-8812, CVE-2019-8813, CVE-2019-8814, CVE-2019-8815, CVE-2019-8816, CVE-2019-8819, CVE-2019-8820, CVE-2019-8821, CVE-2019-8822, CVE-2019-8823, CVE-2019-8827, CVE-2019-8829

BID: 103136