Apple iCloud 10.x < 10.9 多個弱點

high Nessus Plugin ID 138078

Synopsis

遠端 Windows 主機上安裝的 iCloud 軟體受到多個弱點影響。

描述

根據其版本,遠端 Windows 主機上安裝的 iCloud 應用程式版本為早於 10.9 的 10.x。因此受到多個弱點影響:

- WebKit 中存在任意程式碼執行弱點,這是組態問題所致。如果攻擊者位於具有權限的網路位置,則其或可繞過 HSTS,從而獲得有限數量的、之前不在 HSTS 預先載入清單中的特定頂層網域。(CVE-2019-8834)

- WebKit 中存在任意程式碼執行弱點,這是惡意建構的內容問題所致。未經驗證的遠端攻擊者可處理能夠導致任意程式碼執行的惡意建構 Web 內容,進而利用此弱點。(CVE-2019-8835、CVE-2019-8844、CVE-2019-8846)

- 應用程式或可取得提升的權限。(CVE-2019-8848)

- WebKit 中存在弱點,這是未正確剖析 XML 資料所致。未經驗證的遠端攻擊者可剖析能夠導致使用者資訊洩漏的惡意建構 XML 檔案,進而利用此弱點。(CVE-2019-15903)

解決方案

升級至 iCloud 10.9 版或更新版本。

另請參閱

https://support.apple.com/en-us/HT210794

Plugin 詳細資訊

嚴重性: High

ID: 138078

檔案名稱: icloud_10_9.nasl

版本: 1.3

類型: local

代理程式: windows

系列: Windows

已發布: 2020/7/2

已更新: 2020/11/2

支持的傳感器: Nessus Agent

風險資訊

CVSS 評分資料來源: CVE-2019-8846

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 9.3

時間分數: 6.9

媒介: AV:N/AC:M/Au:N/C:C/I:C/A:C

時間媒介: E:U/RL:OF/RC:C

CVSS v3

風險因素: High

基本分數: 8.8

時間分數: 7.7

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

時間媒介: E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:apple:icloud_for_windows

必要的 KB 項目: installed_sw/iCloud

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2020/4/5

弱點發布日期: 2019/12/11

參考資訊

CVE: CVE-2019-8834, CVE-2019-8835, CVE-2019-8844, CVE-2019-8846, CVE-2019-8848, CVE-2019-15903