CVE-2019-6223

CVSS 7.5 HIGHEPSS 2.6%● KEV

Vexday Risk Score

51Atenção

Decisão SSVC (CISA)

Act

Exploração + impacto → ação imediata

CVSS 7.5EPSS 2.6%KEV simPoC —Nuclei —Metasploit —Patch —

Ciclo de vida

05 mar 2019Publicada no NVD

03 nov 2021Exploração ativa (CISA KEV)

Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.

Em resumo

Uma falha no Group FaceTime permitia que a pessoa iniciante de uma chamada forçasse alguém a atendê-la sem consentimento. Era um sério problema de privacidade porque pessoas podiam ser colocadas em chamadas que não desejavam participar.

Detalhe técnico

Uma falha lógica no gerenciamento de estado de chamadas Group FaceTime permitia a um atacante (iniciador da chamada) manipular a lógica de tratamento de chamadas, causando que destinatários fossem colocados em estado de atendimento sem ação explícita do usuário. O ataque requeria iniciar uma chamada Group FaceTime e explorar validação de estado inadequada; o impacto era conexão indesejada e potencial violação de privacidade.

Resumo gerado e traduzido por IA a partir da descrição oficial.

A logic issue existed in the handling of Group FaceTime calls. The issue was addressed with improved state management. This issue is fixed in iOS 12.1.4, macOS Mojave 10.14.3 Supplemental Update. The initiator of a Group FaceTime call may be able to cause the recipient to answer.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Produtos afetados

Apple · iOS Apple · macOS

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://support.apple.com/HT209520 https://support.apple.com/HT209521 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2019-6223