Risque
- Exécution de code arbitraire à distance ;
- contournement de la politique de sécurité.
Systèmes affectés
Apple iTunes versions antérieures à 9.2.
Résumé
Plusieurs vulnérabilités découvertes dans iTunes peuvent être exploitées par un utilisateur malintentionné afin de compromettre le système.
Description
De multiples vulnérabilités ont été découvertes dans iTunes :
- une erreur dans le module colorsync peut conduire à une exécution de code arbitraire lors de l'ouverture d'une image spécialement conçue ;
- l'ouverture d'image au format tiff malveillante peut aussi entrainer une exécution de code arbitraire ;
- la version de webkit embarquée dans iTunes est vulnérable à des attaques connues.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). La version 9.2 du logiciel corrige ces problèmes.
Documentation
- Bulletin de sécurité Apple HT4220 du 16 juin 2010 :
http://support.apple.com/kb/HT4220
- Référence CVE CVE-2009-1726 :
https://www.cve.org/CVERecord?id=CVE-2009-1726
- Référence CVE CVE-2010-0544 :
https://www.cve.org/CVERecord?id=CVE-2010-0544
- Référence CVE CVE-2010-1119 :
https://www.cve.org/CVERecord?id=CVE-2010-1119
- Référence CVE CVE-2010-1387 :
https://www.cve.org/CVERecord?id=CVE-2010-1387
- Référence CVE CVE-2010-1390 :
https://www.cve.org/CVERecord?id=CVE-2010-1390
- Référence CVE CVE-2010-1392 :
https://www.cve.org/CVERecord?id=CVE-2010-1392
- Référence CVE CVE-2010-1393 :
https://www.cve.org/CVERecord?id=CVE-2010-1393
- Référence CVE CVE-2010-1395 :
https://www.cve.org/CVERecord?id=CVE-2010-1395
- Référence CVE CVE-2010-1396 :
https://www.cve.org/CVERecord?id=CVE-2010-1396
- Référence CVE CVE-2010-1397 :
https://www.cve.org/CVERecord?id=CVE-2010-1397
- Référence CVE CVE-2010-1398 :
https://www.cve.org/CVERecord?id=CVE-2010-1398
- Référence CVE CVE-2010-1399 :
https://www.cve.org/CVERecord?id=CVE-2010-1399
- Référence CVE CVE-2010-1400 :
https://www.cve.org/CVERecord?id=CVE-2010-1400
- Référence CVE CVE-2010-1401 :
https://www.cve.org/CVERecord?id=CVE-2010-1401
- Référence CVE CVE-2010-1402 :
https://www.cve.org/CVERecord?id=CVE-2010-1402
- Référence CVE CVE-2010-1403 :
https://www.cve.org/CVERecord?id=CVE-2010-1403
- Référence CVE CVE-2010-1404 :
https://www.cve.org/CVERecord?id=CVE-2010-1404
- Référence CVE CVE-2010-1405 :
https://www.cve.org/CVERecord?id=CVE-2010-1405
- Référence CVE CVE-2010-1408 :
https://www.cve.org/CVERecord?id=CVE-2010-1408
- Référence CVE CVE-2010-1409 :
https://www.cve.org/CVERecord?id=CVE-2010-1409
- Référence CVE CVE-2010-1410 :
https://www.cve.org/CVERecord?id=CVE-2010-1410
- Référence CVE CVE-2010-1411 :
https://www.cve.org/CVERecord?id=CVE-2010-1411
- Référence CVE CVE-2010-1412 :
https://www.cve.org/CVERecord?id=CVE-2010-1412
- Référence CVE CVE-2010-1414 :
https://www.cve.org/CVERecord?id=CVE-2010-1414
- Référence CVE CVE-2010-1415 :
https://www.cve.org/CVERecord?id=CVE-2010-1415
- Référence CVE CVE-2010-1416 :
https://www.cve.org/CVERecord?id=CVE-2010-1416
- Référence CVE CVE-2010-1417 :
https://www.cve.org/CVERecord?id=CVE-2010-1417
- Référence CVE CVE-2010-1418 :
https://www.cve.org/CVERecord?id=CVE-2010-1418
- Référence CVE CVE-2010-1419 :
https://www.cve.org/CVERecord?id=CVE-2010-1419
- Référence CVE CVE-2010-1421 :
https://www.cve.org/CVERecord?id=CVE-2010-1421
- Référence CVE CVE-2010-1422 :
https://www.cve.org/CVERecord?id=CVE-2010-1422
- Référence CVE CVE-2010-1749 :
https://www.cve.org/CVERecord?id=CVE-2010-1749
- Référence CVE CVE-2010-1758 :
https://www.cve.org/CVERecord?id=CVE-2010-1758
- Référence CVE CVE-2010-1759 :
https://www.cve.org/CVERecord?id=CVE-2010-1759
- Référence CVE CVE-2010-1761 :
https://www.cve.org/CVERecord?id=CVE-2010-1761
- Référence CVE CVE-2010-1763 :
https://www.cve.org/CVERecord?id=CVE-2010-1763
- Référence CVE CVE-2010-1769 :
https://www.cve.org/CVERecord?id=CVE-2010-1769
- Référence CVE CVE-2010-1770 :
https://www.cve.org/CVERecord?id=CVE-2010-1770
- Référence CVE CVE-2010-1771 :
https://www.cve.org/CVERecord?id=CVE-2010-1771
- Référence CVE CVE-2010-1774 :
https://www.cve.org/CVERecord?id=CVE-2010-1774