Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance ;
- contournement de la politique de sécurité ;
- atteinte à la confidentialité des données ;
- élévation de privilèges.
Systèmes affectés
Apple iTunes versions antérieures à 9.1.
Résumé
Plusieurs vulnérabilités découvertes dans iTunes peuvent être exploitées par un utilisateur malintentionné afin de compromettre le système ou d'entraver son bon fonctionnement.
Description
De multiples vulnérabilités ont été découvertes dans iTunes :
- plusieurs erreurs dans les modules ColorSync et ImageIO peuvent conduire à une fuite de données ou de l'exécution de code arbitraire, notamment par le biais d'images spécialement conçues ;
- un fichier MP4 importé spécialement conçu entraîne la création d'une boucle infinie dans iTunes, provoquant ainsi un déni de service à distance ;
- une erreur dans le paquet d'installation d'iTunes pour Windows peut provoquer une élévation de privilèges.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Apple HT4105 du 30 mars 2010 :
http://support.apple.com/kb/HT4105
- Référence CVE CVE-2009-2285 :
https://www.cve.org/CVERecord?id=CVE-2009-2285
- Référence CVE CVE-2010-0040 :
https://www.cve.org/CVERecord?id=CVE-2010-0040
- Référence CVE CVE-2010-0041 :
https://www.cve.org/CVERecord?id=CVE-2010-0041
- Référence CVE CVE-2010-0042 :
https://www.cve.org/CVERecord?id=CVE-2010-0042
- Référence CVE CVE-2010-0043 :
https://www.cve.org/CVERecord?id=CVE-2010-0043
- Référence CVE CVE-2010-0531 :
https://www.cve.org/CVERecord?id=CVE-2010-0531
- Référence CVE CVE-2010-0532 :
https://www.cve.org/CVERecord?id=CVE-2010-0532