CERT-FI haavoittuvuustiedote 138/2010

7.9.2010

Apple iTunes 10 julkaistu

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - luottamuksellisen tiedon hankkiminen - palvelunestohyökkäys	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Apple on julkaissut iTunes-päivityksen Windows-käyttöjärjestelmille. Päivitys korjaa useita iTunesin käyttämän WebKit-selainalustan haavoittuvuuksia. Haavoittuvuudet liittyvät RSS-syötteiden käsittelyyn, automaattisesti täytettävien lomaketietojen paljastumiseen sekä Safarin käyttämän WebKit-selainmoottorin virheisiin verkkosivujen käsittelyssä. Haavoittuvuuksia hyväksikäyttämällä hyökkääjän voi olla mahdollista saada tietoonsa selaimelle syötettyjä tietoja, aiheuttaa palvelunestotila tai suorittaa omaa ohjelmakoodia, mikäli käyttäjä vierailee haitallista sisältöä tarjoavalla www-sivulla.

HAAVOITTUVAT OHJELMISTOT:

• Apple iTunes ennen versiota 10
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot valmistajan ohjeiden mukaisesti.

LISÄTIETOA:

• http://support.apple.com/kb/HT4328
• CVE-2010-1778, CVE-2010-1796, CVE-2010-1780
• CVE-2010-1782, CVE-2010-1783, CVE-2010-1784
• CVE-2010-1785, CVE-2010-1786, CVE-2010-1787
• CVE-2010-1788, CVE-2010-1789, CVE-2010-1790
• CVE-2010-1791, CVE-2010-1792, CVE-2010-1793

PÄIVITYSHISTORIA:

7.9.2010, kello 9.45: Julkaistu

Sivua päivitetty 07.09.2010

Tulostusversio