Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Élévation de privilèges
Systèmes affectés
Apple iTunes versions antérieures à 9.1.
Résumé
Plusieurs vulnérabilités découvertes dans iTunes peuvent être exploitées par un utilisateur malintentionné afin de compromettre le système ou d'entraver son bon fonctionnement.
Description
De multiples vulnérabilités ont été découvertes dans iTunes :
- plusieurs erreurs dans les modules ColorSync et ImageIO peuvent conduire à une fuite de données ou de l'exécution de code arbitraire, notamment par le biais d'images spécialement conçues ;
- un fichier MP4 importé spécialement conçu entraîne la création d'une boucle infinie dans iTunes, provoquant ainsi un déni de service à distance ;
- une erreur dans le paquet d'installation d'iTunes pour Windows peut provoquer une élévation de privilèges.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Apple HT4105 du 30 mars 2010 http://support.apple.com/kb/HT4105
- Référence CVE CVE-2009-2285 https://www.cve.org/CVERecord?id=CVE-2009-2285
- Référence CVE CVE-2010-0040 https://www.cve.org/CVERecord?id=CVE-2010-0040
- Référence CVE CVE-2010-0041 https://www.cve.org/CVERecord?id=CVE-2010-0041
- Référence CVE CVE-2010-0042 https://www.cve.org/CVERecord?id=CVE-2010-0042
- Référence CVE CVE-2010-0043 https://www.cve.org/CVERecord?id=CVE-2010-0043
- Référence CVE CVE-2010-0531 https://www.cve.org/CVERecord?id=CVE-2010-0531
- Référence CVE CVE-2010-0532 https://www.cve.org/CVERecord?id=CVE-2010-0532
