Apple iTunes < 11.0.3 の複数の脆弱性(認証情報のチェック)

critical Nessus プラグイン ID 66498
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートホストには、複数の脆弱性があるアプリケーションが含まれています。

説明

リモート Windows ホストにインストールされている Apple iTunes は 11.0.3 より前のバージョンです。したがって、次のいくつかの問題による影響を受ける可能性があります:

- 証明書検証に関連してエラーが存在するため、機密情報が漏洩されたり、信頼されていないソースからのデータをアプリケーションに信頼させたりする可能性があります。(CVE-2013-1014)

- WebKit の同梱バージョンには、メモリ破損と任意のコードの実行につながる可能性がある複数のエラーが含まれています。アプリケーションが「iTunes Store」をブラウズしている際に、1 つの潜在的な攻撃ベクトルが中間者攻撃となることを、ベンダーが指摘しています。
(CVE-2012-2824、CVE-2012-2857、CVE-2012-3748、 CVE-2012-5112、CVE-2013-0879、CVE-2013-0912、 CVE-2013-0948、CVE-2013-0949、CVE-2013-0950、 CVE-2013-0951、CVE-2013-0952、CVE-2013-0953、 CVE-2013-0954、CVE-2013-0955、CVE-2013-0956、 CVE-2013-0958、CVE-2013-0959、CVE-2013-0960、 CVE-2013-0961、CVE-2013-0991、CVE-2013-0992、 CVE-2013-0993、CVE-2013-0994、CVE-2013-0995、 CVE-2013-0996、CVE-2013-0997、CVE-2013-0998、 CVE-2013-0999、CVE-2013-1000、CVE-2013-1001、 CVE-2013-1002、CVE-2013-1003、CVE-2013-1004、 CVE-2013-1005、CVE-2013-1006、CVE-2013-1007、 CVE-2013-1008、CVE-2013-1010、CVE-2013-1011)

ソリューション

Apple iTunes 11.0.3 以降にアップグレードしてください。

関連情報

http://support.apple.com/kb/HT5766

http://lists.apple.com/archives/security-announce/2013/May/msg00000.html

http://www.securityfocus.com/archive/1/526623/30/0/threaded

http://www.zerodayinitiative.com/advisories/ZDI-13-107/

http://www.zerodayinitiative.com/advisories/ZDI-13-108/

http://www.zerodayinitiative.com/advisories/ZDI-13-109/

プラグインの詳細

深刻度: Critical

ID: 66498

ファイル名: itunes_11_0_3.nasl

バージョン: 1.14

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2013/5/17

更新日: 2019/11/27

依存関係: itunes_detect.nasl

リスク情報

CVSS スコアのソース: CVE-2012-5112

VPR

リスクファクター: High

スコア: 8.9

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 8.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

現状ベクトル: CVSS2#E:H/RL:OF/RC:C

脆弱性情報

CPE: cpe:2.3:a:apple:itunes:*:*:*:*:*:*:*:*

必要な KB アイテム: SMB/iTunes/Version

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2013/5/16

脆弱性公開日: 2013/5/16

参照情報

CVE: CVE-2012-2824, CVE-2012-2857, CVE-2012-3748, CVE-2013-0952, CVE-2013-0959, CVE-2013-1011, CVE-2013-0996, CVE-2013-1004, CVE-2013-1006, CVE-2013-0951, CVE-2013-0954, CVE-2013-1005, CVE-2013-0997, CVE-2013-0949, CVE-2013-0999, CVE-2013-0879, CVE-2013-0995, CVE-2013-0955, CVE-2013-0912, CVE-2012-5112, CVE-2013-0948, CVE-2013-0950, CVE-2013-0953, CVE-2013-0956, CVE-2013-0958, CVE-2013-0960, CVE-2013-0961, CVE-2013-1002, CVE-2013-1014, CVE-2013-1003, CVE-2013-1000, CVE-2013-0991, CVE-2013-0998, CVE-2013-0993, CVE-2013-1007, CVE-2013-0994, CVE-2013-0992, CVE-2013-1001, CVE-2013-1008, CVE-2013-1010

BID: 54203, 54749, 55867, 56362, 58388, 57576, 57580, 57581, 57582, 57584, 57585, 57586, 57587, 57588, 57589, 57590, 58495, 58496, 59944, 59953, 59954, 59955, 59956, 59957, 59958, 59959, 59960, 59963, 59964, 59965, 59967, 59970, 59971, 59972, 59973, 59976, 59977, 59974, 59941

EDB-ID: 28081