Inicio / Alerta Temprana / Vulnerabilidades / CVE-2014-1266

Vulnerabilidad en Apple iOS, Apple TV y Apple OS X. (CVE-2014-1266)

Tipo: 
Validación incorrecta de entrada
Gravedad: 
Media
Fecha publicación : 
22/02/2014
Última modificación: 
08/03/2019
Descripción
La función SSLVerifySignedServerKeyExchange en libsecurity_ssl/lib/sslKeyExchange.c la funcionalidad Secure Transport en el componente Data Security en Apple iOS 6.x anterior a 6.1.6 y 7.x anterior a 7.0.6, Apple TV 6.x anterior a 6.0.2 y Apple OS X 10.9.x anterior a 10.9.2 no comprueba la firma en un mensaje TLS Server Key Exchange, lo que permite a atacantes man-in-the-middle falsificar servidores SSL mediante (1) el uso de una clave privada arbitraria para el paso de la firma o (2) la omisión del paso de la firma.
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Media
Autenticación: No requerida para explotarla
Tipo de impacto: Afecta parcialmente a la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + No hay impacto en la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:o:apple:tvos:6.0:*:*:*:*:*:*:*
  • cpe:2.3:o:apple:tvos:6.0.1:*:*:*:*:*:*:*
  • cpe:2.3:o:apple:mac_os_x:10.9:*:*:*:*:*:*:*
  • cpe:2.3:o:apple:mac_os_x:10.9.1:*:*:*:*:*:*:*
  • cpe:2.3:o:apple:iphone_os:7.0:*:*:*:*:*:*:*
  • cpe:2.3:o:apple:iphone_os:7.0.5:*:*:*:*:*:*:*
  • cpe:2.3:o:apple:iphone_os:7.0.4:*:*:*:*:*:*:*
  • cpe:2.3:o:apple:iphone_os:7.0.3:*:*:*:*:*:*:*
  • cpe:2.3:o:apple:iphone_os:7.0.2:*:*:*:*:*:*:*
  • cpe:2.3:o:apple:iphone_os:7.0.1:*:*:*:*:*:*:*
  • cpe:2.3:o:apple:iphone_os:6.1:*:*:*:*:*:*:*
  • cpe:2.3:o:apple:iphone_os:6.1.5:*:*:*:*:*:*:*
  • cpe:2.3:o:apple:iphone_os:6.1.4:*:*:*:*:*:*:*
  • cpe:2.3:o:apple:iphone_os:6.1.3:*:*:*:*:*:*:*
  • cpe:2.3:o:apple:iphone_os:6.1.2:*:*:*:*:*:*:*
  • cpe:2.3:o:apple:iphone_os:6.0:*:*:*:*:*:*:*
  • cpe:2.3:o:apple:iphone_os:6.0.2:*:*:*:*:*:*:*
  • cpe:2.3:o:apple:iphone_os:6.0.1:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Explicación de los campos