Apple iTunes sérülékenység


2010. július 20. 07:02

CH azonosító

CH-3358

Felfedezés dátuma

2010.07.19.

Súlyosság

Magas

Érintett rendszerek

Apple
iTunes

Érintett verziók

Apple iTunes 9.x

Összefoglaló

Egy sérülékenységet találtak az Apple iTunes-ban, amelyet kihasználva távoli támadók feltörhetik a felhasználó sérülékeny rendszerét.

Leírás

A sérülékenységet egy határérték hiba okozza, ami az “itpc:” URI-k kezelésekor jelentkezik. Ezt kihasználva puffer túlcsorduálst lehet okozni, amikor a felhasználó megnyit egy speciálisan elkészített “itpc:” URI-t.

A hiba sikeres kihasználása tetszőleges kód futtatását teszi lehetővé.

A sérülékenységet a 9.2.1 előtti kiadásokban találták.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: support.apple.com
CVE-2010-1777 - NVD CVE-2010-1777
SECUNIA 40660

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-4632 – Samsung MagicINFO 9 Server Path Traversal sérülékenysége
CVE-2023-38950 – ZKTeco BioTime Path Traversal sérülékenysége
CVE-2025-27920 – Srimax Output Messenger Directory Traversal sérülékenysége
CVE-2025-4428 – Ivanti Endpoint Manager Mobile (EPMM) Code Injection sérülékenysége
CVE-2025-4427 – Ivanti Endpoint Manager Mobile (EPMM) Authentication Bypass sérülékenysége
CVE-2024-27443 – Synacor Zimbra Collaboration Suite (ZCS) Cross-Site Scripting (XSS) sérülékenysége
CVE-2024-11182 – MDaemon Email Server Cross-Site Scripting (XSS) sérülékenysége
CVE-2025-42999 – SAP NetWeaver Deserialization sérülékenysége
CVE-2024-12987 – DrayTek Vigor Routers OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »