Apple iTunes < 12.6 多個弱點 (未經認證的檢查)

critical Nessus Plugin ID 100026

語系：

概要

遠端主機上執行的應用程式受到多個弱點影響。

說明

遠端主機上執行的 Apple iTunes 版本比 12.6 舊。因此，會受到多個弱點影響：- expat 元件中存在多個弱點，其中最嚴重的是遠端程式碼執行弱點。未經驗證的遠端攻擊者可加以惡意利用，引發拒絕服務情形，或是在目前使用者的內容中執行任意程式碼。(CVE-2009-3270、CVE-2009-3560、CVE-2009-3720、CVE-2012-1147、CVE-2012-1148、CVE-2012-6702、CVE-2015-1283、CVE-2016-0718、CVE-2016-4472、CVE-2016-5300) - SQLite 元件中存在多個弱點，其中最嚴重的是遠端程式碼執行弱點。未經驗證的遠端攻擊者可加以惡意利用，誘騙使用者開啟特製檔案，藉此引發拒絕服務情形，或是在目前使用者的內容中執行任意程式碼。(CVE-2013-7443、CVE-2015-3414、CVE-2015-3415、CVE-2015-3416、CVE-2015-3717、CVE-2015-6607、CVE-2016-6153) - APNs 伺服器元件中存在一個資訊洩漏弱點，這是因為用純文字傳輸用戶端憑證所致。攔截式攻擊者可加以惡意利用，藉此洩漏敏感資訊。(CVE-2017-2383) - WebKit 元件中存在一個釋放後使用錯誤，這是因為不當處理 RenderBox 物件所致。未經驗證的遠端攻擊者可利用此弱點執行任意程式碼。(CVE-2017-2463) - WebKit 元件中存在多個通用跨網站指令碼 (XSS) 弱點，這是因不當驗證使用者提供的輸入所導致。未經驗證的遠端攻擊者可惡意利用這些弱點，誘騙使用者造訪特製網頁，藉此在使用者的瀏覽器工作階段中執行任意程式碼。(CVE-2017-2479、CVE-2017-2480、CVE-2017-2493) - transform.c 中 xsltAddTextString() 函式的 libxslt 元件存在一個整數溢位情形，這是因為不當驗證使用者提供的輸入所致。未經驗證的遠端攻擊者可惡意利用此情形引發越界寫入錯誤，進而導致執行任意程式碼。(CVE-2017-5029) 請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。