VulDB: Apple iTunes 10.6.3 WebKit unbekannte Schwachstelle [CVE-2012-3707]
Allgemein
scipID: 6283
Betroffen: Apple iTunes 10.6.3
Veröffentlicht: 12.09.2012 (Abhishek Arya)
Risiko: 
problematisch
Eintrag: 87.8% komplett
Erstellt: 13.09.2012
Aktualisiert: 14.09.2012
Beschreibung
In Apple iTunes 10.6.3 wurde eine problematische Schwachstelle entdeckt. Davon betroffen ist eine unbekannte Funktion der Komponente WebKit. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 12.09.2012 durch Abhishek Arya von Google Chrome Security Team als APPLE-SA-2012-09-12-1 in Form eines Postings öffentlich gemacht. Bereitgestellt wird das Advisory unter lists.apple.com. Die Veröffentlichung passierte hierbei in Koordination mit Apple. Die Verwundbarkeit wird seit dem 19.06.2012 als CVE-2012-3707 geführt. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.
Ein Aktualisieren auf die Version 10.7 vermag dieses Problem zu lösen. Eine neue Version kann von apple.com bezogen werden. Das Problem kann auch durch den Einsatz von Spotify als alternatives Produkt mitigiert werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von OSVDB (85390) dokumentiert. Das deutsche IT-Nachrichtenportal Heise berichtet ebenfalls über den Fall.CVSS
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Gegenmassnahmen
Empfehlung: Upgrade
0-Day Time: 0 Tage seit gefunden
Upgrade: iTunes 10.7
Alternative: Spotify
Timeline
19.06.2012 | CVE zugewiesen
12.09.2012 | Advisory veröffentlicht
13.09.2012 | VulDB Eintrag erstellt
14.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: APPLE-SA-2012-09-12-1
Person: Abhishek Arya
Firma: Google Chrome Security Team
Koordiniert: Ja
Bestätigung: support.apple.com
OSVDB: 85390
CVE: CVE-2012-3707 (mitre.org) (nist.org) (cvedetails.com)
Heise: 1705089
- Letzte Einträge
- EMC RSA Authentication API Encryption Key Information Disclosure
- Cisco Secure Access Control System Web Interface schwache Authentisierung
- Python ssl.match_hostname() Denial of Service
- Mozilla Firefox/Thunderbird nsContentUtils::RemoveScriptBlocker Pufferüberlauf
- Mozilla Firefox/Thunderbird nsFrameList::FirstChild Pufferüberlauf
- Statistiken
- Archiv
