Уязвимость спуфинга в Apple iTunes через некорректную работу окна обучения iTunes
Описание
Уязвимость в Apple iTunes заключается в том, что программа использует протокол HTTP для работы окна обучения iTunes. Это позволяет злоумышленникам, осуществляющим атаку типа "человек посередине", изменять содержимое, перехватывая поток данных между клиентом и сервером.
Затронутые версии ПО
- Apple iTunes до версии 11.1.4
Тип уязвимости
Спуфинг содержимого посредством атаки "человек посередине"
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 11.1.3 (включая)
Одно из
cpe:2.3:a:apple:itunes:*:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:11.0:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:11.0.1:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:11.0.2:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:11.0.3:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:11.0.4:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:11.0.5:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:11.1:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:11.1.1:*:*:*:*:*:*:*
cpe:2.3:a:apple:itunes:11.1.2:*:*:*:*:*:*:*
EPSS
Процентиль: 64%
0.00463
Низкий
5.8 Medium
CVSS2
Дефекты
CWE-310
Связанные уязвимости
github
больше 3 лет назад
Apple iTunes before 11.1.4 uses HTTP for the iTunes Tutorials window, which allows man-in-the-middle attackers to spoof content by gaining control over the client-server data stream.
EPSS
Процентиль: 64%
0.00463
Низкий
5.8 Medium
CVSS2
Дефекты
CWE-310