Apple iTunes < 11.2 多個弱點 (未經認證的檢查)
medium Nessus Plugin ID 74041
語系:
Synopsis
遠端主機包含一個受到多個弱點影響的應用程式。描述
遠端主機上執行的 Apple iTunes 版本比 11.2 舊。因此,會受到多個弱點影響:- CFNetwork HTTPProtocol 中存在一個瑕疵,這是因為無法正確確保在解譯標頭的值之前,Set-Cookie HTTP 標頭是完整的所致。攔截式攻擊者可惡意利用此瑕疵,透過在傳送安全性設定之前關閉連線來繞過安全性設定,進而導致洩漏敏感資訊。(CVE-2014-1296)
- 存在一個記憶體損毀問題,這是因為在處理 MP4 檔案時不當驗證使用者提供的輸入所致。攻擊者可惡意利用此問題,透過說服使用者開啟特製的 MP4 檔案,藉此損毀記憶體,導致執行任意程式碼。
(CVE-2014-8842)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。
解決方案
升級至 Apple iTunes 11.2 或更新版本。另請參閱
https://support.apple.com/en-us/HT202976
https://www.securityfocus.com/archive/1/532116/30/0/threaded
Plugin 詳細資訊
嚴重性: Medium
ID: 74041
檔案名稱: itunes_11_2_banner.nasl
版本: 1.8
類型: remote
已發布: 2014/5/16
已更新: 2019/11/26
風險資訊
VPR
風險因素: Low
分數: 2.7
CVSS v2
風險因素: Medium
基本分數: 4.3
時間分數: 3.2
媒介: AV:N/AC:M/Au:N/C:P/I:N/A:N
時間媒介: E:U/RL:OF/RC:C
CVSS 評分資料來源: CVE-2014-1296
弱點資訊
CPE: cpe:/a:apple:itunes
必要的 KB 項目: iTunes/sharing
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2014/5/15
弱點發布日期: 2014/4/22
參考資訊
CVE: CVE-2014-1296, CVE-2014-8842
BID: 67024
APPLE-SA: APPLE-SA-2014-04-22-2