Apple iTunes < 12.4.2 多個弱點 (未經認證的檢查)
critical Nessus Plugin ID 92411
語系:
概要
遠端主機正在執行受到多個弱點影響的應用程式。說明
遠端 Windows 主機上執行的 Apple iTunes 版本比 12.4.2 舊。因此,會受到多個弱點影響:- libxslt 元件中存有多個記憶體損毀問題,這是因為不當驗證使用者提供的輸入所致。未經驗證的遠端攻擊者可惡意利用此弱點,藉此引發拒絕服務情形或執行任意程式碼。(CVE-2016-1684、CVE-2016-4607、CVE-2016-4608、CVE-2016-4609、CVE-2016-4610、CVE-2016-4612)
- libxml2 元件中存在多個記憶體損毀問題,可允許遠端攻擊者造成拒絕服務情形或執行任意程式碼。
(CVE-2016-1836、CVE-2016-4447、CVE-2016-4448、CVE-2016-4483、CVE-2016-4614、CVE-2016-4615、CVE-2016-4616、CVE-2016-4619)
- 在 libxml2 元件中存在一個 XXE (Xml 外部實體) 插入弱點,這是因為不正確地設定接受來自未受信任來源之 XML 外部實體的 XML 剖析器所致。遠端攻擊者可惡意利用此弱點,透過特製的 XML 檔案洩漏任意檔案和使用者資訊。(CVE-2016-4449)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。
解決方案
升級至 Apple iTunes 12.4.2 版或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 92411
檔案名稱: itunes_12_4_2_banner.nasl
版本: 1.6
類型: remote
已發布: 2016/7/19
已更新: 2019/11/19
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: Critical
基本分數: 10
時間分數: 7.4
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2016-4448
CVSS v3
風險因素: Critical
基本分數: 9.8
時間分數: 8.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:apple:itunes
必要的 KB 項目: iTunes/sharing
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2016/7/18
弱點發布日期: 2016/4/6
參考資訊
CVE: CVE-2016-1684, CVE-2016-1836, CVE-2016-4447, CVE-2016-4448, CVE-2016-4449, CVE-2016-4483, CVE-2016-4607, CVE-2016-4608, CVE-2016-4609, CVE-2016-4610, CVE-2016-4612, CVE-2016-4614, CVE-2016-4615, CVE-2016-4616, CVE-2016-4619
BID: 90013, 90856, 90864, 90865, 90876
APPLE-SA: APPLE-SA-2016-07-18-6