| タイトル | Apple macOS の 802.1X コンポーネントにおける任意のユーザのネットワーク資格情報を取得される脆弱性 |
|---|---|
| 概要 | Apple macOS の 802.1X コンポーネントには、証明書の変更時に EAP-TLS 証明書のバリデーションを誤って処理するため、任意のユーザのネットワーク資格情報を取得される脆弱性が存在します。 |
| 想定される影響 | リモートの攻撃者により、802.1X 認証を必要とする巧妙に細工されたネットワークを実行されることで、任意のユーザのネットワーク資格情報を取得される可能性があります。 |
| 対策 | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2017年5月15日0:00 |
| 登録日 | 2017年6月8日14:39 |
| 最終更新日 | 2017年6月8日14:39 |
| CVSS3.0 : 警告 | |
| スコア | 5.9 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N |
| CVSS2.0 : 警告 | |
| スコア | 4.3 |
|---|---|
| ベクター | AV:N/AC:M/Au:N/C:P/I:N/A:N |
| アップル |
| Apple Mac OS X 10.12.4 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2017年06月08日] 掲載 |
2018年2月17日10:37 |
| 概要 | An issue was discovered in certain Apple products. macOS before 10.12.5 is affected. The issue involves the "802.1X" component. It allows remote attackers to discover the network credentials of arbitrary users by operating a crafted network that requires 802.1X authentication, because EAP-TLS certificate validation mishandles certificate changes. |
|---|---|
| 公表日 | 2017年5月22日14:29 |
| 登録日 | 2021年1月26日13:28 |
| 最終更新日 | 2024年11月21日12:30 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:apple:mac_os_x:*:*:*:*:*:*:*:* | 10.12.4 | ||||