検出

Apple iTunes < 12.9.3複数の脆弱性 (認証情報のチェック)

critical Nessus プラグイン ID 121473

Language:

概要

リモートホストにインストールされているアプリケーションは、複数の脆弱性の影響を受けます。

説明

リモートのWindowsホストにインストールされているApple iTunesのバージョンは、12.9.3より前です。It is, therefore, affected by multiple vulnerabilities as referenced in the HT209450 advisory:

 - Multiple vulnerabilities exist due to input processing flaws in the WebKit component. An attacker may be able to leverage one of these vulnerability, by providing maliciously crafted web content, to execute arbitrary code on the host. (CVE-2019-6212, CVE-2019-6215, CVE-2019-6216, CVE-2019-6217, CVE-2019-6226, CVE-2019-6227, CVE-2019-6233, CVE-2019-6234)

 - A universal cross-site scripting vulnerability exists in the WebKit component. An attacker may be able to leverage this vulnerability, by providing maliciously crafted web content, to execute arbitrary script code in the security context of any site. (CVE-2019-6229)

 - A memory corruption vulnerability exists in the AppleKeyStore component. An attacker may be able to leverage this vulnerability to allow a process to circumvent sandbox restrictions. (CVE-2019-6235)

 - An out-of-bounds read vulnerability exists in the Core Media component. An attacker may be able to leverage this vulnerability to allow a malicious application to elevate its privileges. (CVE-2019-6221)

 - Multiple memory corruption issues exist in the SQLite component. An attacker may be able to leverage these vulnerabilities, by executing a malicious SQL query, to execute arbitrary code on the host. (CVE-2018-20346, CVE-2018-20505, CVE-2018-20506)


Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Apple iTunesバージョン12.9.3以降にアップグレードしてください。

参考資料

https://support.apple.com/en-us/HT209450

プラグインの詳細

深刻度: Critical

ID: 121473

ファイル名: itunes_12_9_3.nasl

バージョン: 1.4

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2019/1/30

更新日: 2019/10/31

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2019-6235

CVSS v3

リスクファクター: Critical

基本値: 10

現状値: 9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:apple:itunes

必要な KB アイテム: SMB/Registry/Enumerated, installed_sw/iTunes Version

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2019/1/24

脆弱性公開日: 2019/1/24

参照情報

CVE: CVE-2018-20346, CVE-2018-20505, CVE-2018-20506, CVE-2019-6212, CVE-2019-6215, CVE-2019-6216, CVE-2019-6217, CVE-2019-6221, CVE-2019-6226, CVE-2019-6227, CVE-2019-6229, CVE-2019-6233, CVE-2019-6234, CVE-2019-6235

BID: 106323, 106691, 106694, 106696, 106698, 106699, 106724

APPLE-SA: APPLE-SA-2019-1-24-1