Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance.
Systèmes affectés
Toutes les versions d'iTunes antérieures à 10.
Résumé
De multiples vulnérabilités affectent WebKit, le moteur de rendu de pages Web, inclus dans iTunes. Elles permettent des attaques par déni de service ainsi que l'exécution de code arbitraire à distance.
Description
De nombreuses failles découvertes dans le moteur de rendu de pages Web WebKit affectent également le logiciel iTunes, qui utilise ce moteur pour afficher des pages HTML. Elles permettent à une personne malveillante d'exécuter du code arbitraire à distance ainsi que de déclencher l'arrêt inopiné du logiciel à distance.
On notera que ces vulnérabilités concernaient également le navigateur Safari (utilisant aussi le moteur WebKit) et qu'un correctif est disponible pour celui-ci depuis le 28 juillet 2010 (cf l'avis CERTA-2010-AVI-342 du 29 juillet 2010).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Mise à jour Apple iTunes du 2 Septembre 2010 :
http://support.apple.com/kb/HT4328
- Avis CERTA numéro 342 du 29 juillet 2010 :
http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-342/index.html
- Référence CVE CVE-2010-1780 :
https://www.cve.org/CVERecord?id=CVE-2010-1780
- Référence CVE CVE-2010-1782 :
https://www.cve.org/CVERecord?id=CVE-2010-1782
- Référence CVE CVE-2010-1783 :
https://www.cve.org/CVERecord?id=CVE-2010-1783
- Référence CVE CVE-2010-1784 :
https://www.cve.org/CVERecord?id=CVE-2010-1784
- Référence CVE CVE-2010-1785 :
https://www.cve.org/CVERecord?id=CVE-2010-1785
- Référence CVE CVE-2010-1786 :
https://www.cve.org/CVERecord?id=CVE-2010-1786
- Référence CVE CVE-2010-1787 :
https://www.cve.org/CVERecord?id=CVE-2010-1787
- Référence CVE CVE-2010-1788 :
https://www.cve.org/CVERecord?id=CVE-2010-1788
- Référence CVE CVE-2010-1789 :
https://www.cve.org/CVERecord?id=CVE-2010-1789
- Référence CVE CVE-2010-1790 :
https://www.cve.org/CVERecord?id=CVE-2010-1790
- Référence CVE CVE-2010-1791 :
https://www.cve.org/CVERecord?id=CVE-2010-1791
- Référence CVE CVE-2010-1792 :
https://www.cve.org/CVERecord?id=CVE-2010-1792
- Référence CVE CVE-2010-1793 :
https://www.cve.org/CVERecord?id=CVE-2010-1793