Starbucks 信任管理漏洞

漏洞信息详情

Starbucks 信任管理漏洞

• CNNVD编号：CNNVD-201401-560
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2014-0647
  
• 漏洞类型：
  
  
  信任管理
  
• 发布时间：
  
  2014-01-29
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2014-01-29
  
• 厂        商：
  
  starbucks
• 漏洞来源：

Starbucks是美国星巴克（Starbucks）公司的一套用于IOS平台的手机应用程序。该应用程序支持GPS自动定位、查询产品介绍、了解活动信息等。

基于iOS平台上的Starbucks 2.6.1版本应用程序存在信任管理漏洞，该漏洞源于Crashlytics日志文件(/Library/Caches/com.crashlytics.data/com.starbucks.mystarbucks/session.clslog)以明文方式存储敏感信息。远程攻击者可通过读取session.clslog文件利用该漏洞发现用户名，密码及电子邮件地址。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.starbucks.com/

来源: itunes.apple.com

链接:https://itunes.apple.com/us/app/starbucks/id331177714?mt=8

来源: XF

名称: starbucks-cve20140647-info-disclosure(90412)

链接:http://xforce.iss.net/xforce/xfdb/90412

来源: www.zdnet.com

链接:http://www.zdnet.com/the-starbucks-bug-not-as-awful-as-reported-7000025269/

来源: www.zdnet.com

链接:http://www.zdnet.com/starbucks-fixes-ios-app-bugs-7000025323/

来源: BID

名称: 64942

链接:http://www.securityfocus.com/bid/64942

来源: BUGTRAQ

名称: 20140114 [CVE-2014-0647] Insecure Data Storage of User Data Elements in Starbucks v2.6.1 iOS mobile application

链接:http://www.securityfocus.com/archive/1/archive/1/530756/100/0/threaded

来源: OSVDB

名称: 102514

链接:http://www.osvdb.org/102514

来源: FULLDISC

名称: 20140113 [CVE-2014-0647] Insecure Data Storage of User Data Elements in Starbucks v2.6.1 iOS mobile application

链接:http://seclists.org/fulldisclosure/2014/Jan/64

来源: FULLDISC

名称: 20140117 Re: [CVE-2014-0647] Insecure Data Storage of User Data Elements in Starbucks v2.6.1 iOS mobile application

链接:http://seclists.org/fulldisclosure/2014/Jan/123