Apple iCloud 7.x < 7.13/10.x < 10.6の複数の脆弱性

high Nessus プラグイン ID 127914

概要

リモートのWindowsホストにインストールされているiCloudソフトウェアは、複数の脆弱性による影響を受けます。

説明

According to its version, the iCloud application installed on the remote Windows host is 7.x prior to 7.13 or 10.x prior to 10.6. そのため、以下の複数の脆弱性の影響を受けます。

- Multiple arbitrary code execution vulnerabilities exist with in the WebKit due to improper handling of maliciously crafted content. An unauthenticated, remote attacker can exploit this to execute arbitrary code. (CVE-2019-8644, CVE-2019-8666, CVE-2019-8669, CVE-2019-8671, CVE-2019-8672, CVE-2019-8673, CVE-2019-8676, CVE-2019-8677, CVE-2019-8678, CVE-2019-8679, CVE-2019-8680, CVE-2019-8681, CVE-2019-8683, CVE-2019-8684, CVE-2019-8685, CVE-2019-8686, CVE-2019-8687, CVE-2019-8688, CVE-2019-8689)

- A cross-site scripting (XSS) vulnerability exists with in the WebKit due to improper handling synchronous page loads.
認証されていないリモート攻撃者がこれを悪用し、巧妙に作りこまれた URL をクリックするようユーザーを誘導して、ユーザーのブラウザセッションで任意のスクリプトコードを実行する可能性があります。(CVE-2019-8649)

- A cross-site scripting (XSS) vulnerability exists with in the WebKit due to improper validation of user-supplied input before returning it to users. 認証されていないリモート攻撃者がこれを悪用し、巧妙に作りこまれた URL をクリックするようユーザーを誘導して、ユーザーのブラウザセッションで任意のスクリプトコードを実行する可能性があります。(CVE-2019-8658)

- A cross-site scripting (XSS) vulnerability exists with in the WebKit due to improper handling of document loads. 認証されていないリモート攻撃者がこれを悪用し、巧妙に作りこまれた URL をクリックするようユーザーを誘導して、ユーザーのブラウザセッションで任意のスクリプトコードを実行する可能性があります。(CVE-2019-8690)

- An information disclosure vulnerability exists in the included libxslt library due to improper input validation. An unauthenticated, remote attacker can exploit this, to disclose potentially sensitive information. (CVE-2019-13118)

ソリューション

iCloudをバージョン7.13、10.6以降にアップグレードしてください。

参考資料

https://support.apple.com/en-us/HT210357

https://support.apple.com/en-us/HT210358

プラグインの詳細

深刻度: High

ID: 127914

ファイル名: icloud_10_6.nasl

バージョン: 1.5

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2019/8/20

更新日: 2021/1/29

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

Base Score: 9.3

Temporal Score: 8.1

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2019-8689

CVSS v3

リスクファクター: High

Base Score: 8.8

Temporal Score: 8.4

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:H/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:apple:icloud_for_windows

必要な KB アイテム: installed_sw/iCloud

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2019/7/23

脆弱性公開日: 2019/7/23

参照情報

CVE: CVE-2019-13118, CVE-2019-8644, CVE-2019-8649, CVE-2019-8658, CVE-2019-8666, CVE-2019-8669, CVE-2019-8671, CVE-2019-8672, CVE-2019-8673, CVE-2019-8676, CVE-2019-8677, CVE-2019-8678, CVE-2019-8679, CVE-2019-8680, CVE-2019-8681, CVE-2019-8683, CVE-2019-8684, CVE-2019-8685, CVE-2019-8686, CVE-2019-8687, CVE-2019-8688, CVE-2019-8689, CVE-2019-8690

BID: 109328, 109329, 109323