Уязвимость DoS атаки и выполнения произвольного кода в Apple iTunes через специально созданное изображение обложки альбома
Описание
В Apple iTunes до версии 7.4 существует уязвимость, которая позволяет злоумышленнику вызвать аварийное завершение работы программы или выполнить произвольный код. Это возможно из-за переполнения буфера в памяти, связанного с обработкой изображений обложки альбома в элементе covr файла MP4/AAC.
Затронутые версии ПО
Apple iTunes версий до 7.4
Тип уязвимости
- Переполнение буфера, основанного на куче
- DoS атака (аварийное завершение работы приложения)
- Возможность удаленного выполнения кода
Ссылки
- Patch
- PatchVendor Advisory
- Patch
- PatchVendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 7.3.2 (включая)
cpe:2.3:a:apple:itunes:*:*:*:*:*:*:*:*
EPSS
Процентиль: 95%
0.16027
Средний
9.3 Critical
CVSS2
Дефекты
CWE-119
Связанные уязвимости
github
почти 4 года назад
Heap-based buffer overflow in Apple iTunes before 7.4 allows remote attackers to cause a denial of service (application crash) or execute arbitrary code via crafted album cover art in the covr atom of an MP4/AAC file.
EPSS
Процентиль: 95%
0.16027
Средний
9.3 Critical
CVSS2
Дефекты
CWE-119