漏洞标题
N/A
漏洞描述信息
## 漏洞概述
Apple Mac OS X中的Certificate Trust Policy组件在处理缺少OCSP URL的扩展验证(EV)证书时不会执行CRL检查,这可能导致中间人攻击者通过撤销的证书来假冒SSL服务器。
## 影响版本
Apple Mac OS X 10.6.8之前的版本
## 细节
该漏洞的存在是因为Certificate Trust Policy组件在处理缺少OCSP(在线证书状态协议)URL的扩展验证(EV)证书时,未能执行CRL(证书撤销列表)检查。这种情况下,中间人攻击者能够利用已撤销的证书进行SSL服务器的假冒攻击。
## 影响
此漏洞可能使攻击者实施中间人攻击,通过使用撤销的证书来假冒SSL服务器,导致用户敏感信息被窃取或数据被篡改。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The Certificate Trust Policy component in Apple Mac OS X before 10.6.8 does not perform CRL checking for Extended Validation (EV) certificates that lack OCSP URLs, which might allow man-in-the-middle attackers to spoof an SSL server via a revoked certificate.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Apple Mac OS X Certificate Trust Policy EV证书安全限制绕过漏洞
漏洞描述信息
Apple Mac OS X是美国苹果(Apple)公司为Mac计算机所开发的一套专用操作系统。 Apple Mac OS X 10.6.8之前版本中的Certificate Trust Policy组件不能对缺乏OCSP URL的扩展验证(EV)证书执行CRL检查。中间人攻击者可借助废弃的证书欺骗SSL服务器。
CVSS信息
N/A
漏洞类别
授权问题