Vulnerabilidad en ZenMate (CVE-2018-8076)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-704
Conversión de tipos errónea
Fecha de publicación:
15/03/2018
Última modificación:
11/05/2020
Descripción
ZenMate 1.5.4 para macOS sufre de una vulnerabilidad de confusión de tipos en el componente LaunchDaemon com.zenmate.chron-xpc. LaunchDaemon implementa un servicio XPC que emplea una API XPC insegura para acceder a datos de un mensaje XPC entrante. Esto podría resultar en que un objeto XPC del tipo equivocado se pase como primer argumento a la función xpc_connection_create_from_endpoint si está controlado por un atacante. En versiones recientes de macOS y OS X, Apple ha implementado una comprobación interna para evitar que ocurra el abuso de la API XPC, haciendo que esta vulnerabilidad solo resulte en una denegación de servicio (DoS), si es explotada por un atacante.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:zenmate:zenmate:1.5.4:*:*:*:*:macos:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página