Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2008-3434

Опубликовано: 01 авг. 2008
Источник: nvd
CVSS2: 7.5
EPSS Низкий

Уязвимость выполнения произвольного кода из-за некорректной верификации обновлений в Apple iTunes

Описание

Уязвимость в Apple iTunes до версии 10.5.1 заключается в некорректной верификации подлинности обновлений, что позволяет злоумышленникам использующим технику "man-in-the-middle" (человек посередине) выполнять произвольный код через обновление, подмененное трояном. Это демонстрируется с помощью инструментов evilgrade и отравления кеша DNS.

Затронутые версии ПО

  • Apple iTunes до версии 10.5.1

Тип уязвимости

  • Выполнение произвольного кода
  • Атака "человек посередине" (MITM)

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:apple:itunes:*:*:*:*:*:*:*:*
Версия до 6.0.5 (включая)
cpe:2.3:a:apple:itunes:1.0:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:1.1:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:1.1.1:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:1.1.2:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:2.0:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:2.0.1:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:2.0.2:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:2.0.3:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:2.0.4:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:3.0:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:3.0.1:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:4.0:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:4.0.1:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:4.1:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:4.2:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:4.5:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:4.6:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:4.7:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:4.7.1:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:4.8:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:4.9:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:5.0:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:5.0.1:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:6.0:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:6.0.1:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:6.0.2:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:6.0.3:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:6.0.4:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:6.0.4.2:*:*:*:*:*:*:*

EPSS

Процентиль: 71%
0.00698
Низкий

7.5 High

CVSS2

Дефекты

CWE-94

Связанные уязвимости

github логотип

GHSA-p52p-hq77-4mj2

github
почти 4 года назад

Apple iTunes before 10.5.1 does not properly verify the authenticity of updates, which allows man-in-the-middle attackers to execute arbitrary code via a Trojan horse update, as demonstrated by evilgrade and DNS cache poisoning.

EPSS

Процентиль: 71%
0.00698
Низкий

7.5 High

CVSS2

Дефекты

CWE-94