Apple iTunes < 11.0.3 複数の脆弱性(uncredentialed check)

critical Nessus プラグイン ID 66499

概要

リモートホストに、複数の脆弱性があるマルチメディアアプリケーションがあります。

説明

リモートホストの Apple iTunes バージョンは 11.0.3 より前のバージョンです。したがって、以下の複数の脆弱性による影響を受けます:

- 証明書検証に関連してエラーが存在します。中間攻撃者が、これを悪用して、HTTPS サーバーを偽装し、機密情報を漏洩させたり、アプリケーションに信頼できないソースのデータを信頼させたりする可能性があります。注意:この問題はオペレーティングシステムに関わりなく、このアプリケーションに影響を与えます。
(CVE-2013-1014)

- iTunes に含まれている WebKit のバージョンに複数のエラーがあり、メモリ破損および任意のコード実行が発生する可能性があります。1 つの可能性のあるベクトルとして、アプリケーションが「iTunes Store」をブラウズしている際の中間者攻撃がベンダーにより指摘されています。これらの脆弱性は、Windows ホストで実行されているアプリケーションにのみ影響を与えることに注意してください。
(CVE-2012-2824、CVE-2012-2857、CVE-2012-3748、 CVE-2012-5112、CVE-2013-0879、CVE-2013-0912、 CVE-2013-0948、CVE-2013-0949、CVE-2013-0950、 CVE-2013-0951、CVE-2013-0952、CVE-2013-0953、 CVE-2013-0954、CVE-2013-0955、CVE-2013-0956、 CVE-2013-0958、CVE-2013-0959、CVE-2013-0960、 CVE-2013-0961、CVE-2013-0991、CVE-2013-0992、 CVE-2013-0993、CVE-2013-0994、CVE-2013-0995、 CVE-2013-0996、CVE-2013-0997、CVE-2013-0998、 CVE-2013-0999、CVE-2013-1000、CVE-2013-1001、 CVE-2013-1002、CVE-2013-1003、CVE-2013-1004、 CVE-2013-1005、CVE-2013-1006、CVE-2013-1007、 CVE-2013-1008、CVE-2013-1010、CVE-2013-1011)

ソリューション

Apple iTunes 11.0.3 以降にアップグレードしてください。

関連情報

http://www.zerodayinitiative.com/advisories/ZDI-13-107/

http://www.zerodayinitiative.com/advisories/ZDI-13-108/

http://www.zerodayinitiative.com/advisories/ZDI-13-109/

http://support.apple.com/kb/HT5766

http://lists.apple.com/archives/security-announce/2013/May/msg00000.html

http://www.securityfocus.com/archive/1/526623/30/0/threaded

プラグインの詳細

深刻度: Critical

ID: 66499

ファイル名: itunes_11_0_3_banner.nasl

バージョン: 1.16

タイプ: remote

ファミリー: Peer-To-Peer File Sharing

公開日: 2013/5/17

更新日: 2019/11/27

リスク情報

CVSS スコアのソース: CVE-2012-5112

VPR

リスクファクター: High

スコア: 8.9

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 8.7

ベクトル: AV:N/AC:L/Au:N/C:C/I:C/A:C

現状ベクトル: E:H/RL:OF/RC:C

脆弱性情報

CPE: cpe:/a:apple:itunes

必要な KB アイテム: iTunes/sharing

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2013/5/16

脆弱性公開日: 2013/5/16

参照情報

CVE: CVE-2012-2824, CVE-2012-2857, CVE-2012-3748, CVE-2012-5112, CVE-2013-0879, CVE-2013-0912, CVE-2013-0948, CVE-2013-0949, CVE-2013-0950, CVE-2013-0951, CVE-2013-0952, CVE-2013-0953, CVE-2013-0954, CVE-2013-0955, CVE-2013-0956, CVE-2013-0958, CVE-2013-0959, CVE-2013-0960, CVE-2013-0961, CVE-2013-0991, CVE-2013-0992, CVE-2013-0993, CVE-2013-0994, CVE-2013-0995, CVE-2013-0996, CVE-2013-0997, CVE-2013-0998, CVE-2013-0999, CVE-2013-1000, CVE-2013-1001, CVE-2013-1002, CVE-2013-1003, CVE-2013-1004, CVE-2013-1005, CVE-2013-1006, CVE-2013-1007, CVE-2013-1008, CVE-2013-1010, CVE-2013-1011, CVE-2013-1014

BID: 54203, 54749, 55867, 56362, 57576, 57580, 57581, 57582, 57584, 57585, 57586, 57587, 57588, 57589, 57590, 58388, 58495, 58496, 59941, 59944, 59953, 59954, 59955, 59956, 59957, 59958, 59959, 59960, 59963, 59964, 59965, 59967, 59970, 59971, 59972, 59973, 59974, 59976, 59977

EDB-ID: 28081