漏洞标题
N/A
漏洞描述信息
## 漏洞概述
Apple iOS的Data Security组件在验证X.509证书链时未检查basicConstraints参数,导致中间人攻击者可以使用非CA证书为任意域名签署证书,从而冒充SSL服务器。
## 影响版本
- iOS 4.2.10 之前版本
- iOS 4.3.x 4.3.5 之前版本
## 细节
漏洞在于验证X.509证书链时未检查basicConstraints参数。中间人攻击者可以利用非证书颁发机构(CA)的证书为任意域名签发证书,绕过正常的证书验证过程,从而冒充SSL服务器。
## 影响
攻击者能够冒充SSL服务器,导致用户可能访问到恶意服务器,风险包括信息泄露、中间人攻击等。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The Data Security component in Apple iOS before 4.2.10 and 4.3.x before 4.3.5 does not check the basicConstraints parameter during validation of X.509 certificate chains, which allows man-in-the-middle attackers to spoof an SSL server by using a non-CA certificate to sign a certificate for an arbitrary domain.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Apple iOS 'basicConstraints' X.509证书链验证漏洞
漏洞描述信息
Apple iOS是美国苹果(Apple)公司为移动设备所开发的一套操作系统。 Apple iOS "basicConstraints" X.509在验证证书链中的证书"basicConstraints"参数时存在错误,通过中间人攻击,远程攻击者可欺骗任意域中的证书并泄露加密信息。
CVSS信息
N/A
漏洞类别
授权问题