← voltar
CVE-2023-41991

CVE-2023-41991

CVSS 5.5 MEDIUMEPSS 4.5%● KEVCWE-295
Em resumo

Uma falha na validação de certificados permitia que apps maliciosos contornassem verificações de assinatura em dispositivos Apple. Isso poderia permitir que atacantes executassem código não autorizado ou falsificassem aplicativos confiáveis.

Detalhe técnico

Bypass de validação de certificado (CWE-295) afetando iOS, iPadOS e macOS. Um app malicioso poderia contornar mecanismos de verificação de assinatura explorar falha na lógica de validação de certificados. A vulnerabilidade foi explorada ativamente em versões do iOS anteriores à 16.7; corrigida no macOS Ventura 13.6, iOS 16.7 e iPadOS 16.7.

Resumo gerado e traduzido por IA a partir da descrição oficial.
A certificate validation issue was addressed. This issue is fixed in macOS Ventura 13.6, iOS 16.7 and iPadOS 16.7. A malicious app may be able to bypass signature validation. Apple is aware of a report that this issue may have been actively exploited against versions of iOS before iOS 16.7.
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
Produtos afetados
Apple · iOS and iPadOSApple · macOS
PoCs públicas encontradas2
githubgithub.com/itsgiddd/CVE-2023-419916githubgithub.com/dmytrozykov/appsign1
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://support.apple.com/en-us/HT213927https://support.apple.com/en-us/HT213931https://support.apple.com/kb/HT213927https://support.apple.com/kb/HT213931https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-41991