CVE-2014-1347

Опубликовано: 18 мая 2014

Источник: nvd

CVSS2: 4.4

EPSS Низкий

Уязвимость некорректной установки прав доступа в Apple iTunes на OS X, позволяющая локально изменять файлы и получить доступ к произвольным учетным записям

Описание

В Apple iTunes до версии 11.2.1 на OS X установлены права доступа, позволяющие всем пользователям изменять содержимое директорий /Users и /Users/Shared во время перезагрузки. Это открывает возможность для локальных злоумышленников модифицировать файлы и, как следствие, получить доступ к произвольным учетным записям через стандартные операции файловой системы.

Затронутые версии ПО

Apple iTunes до версии 11.2.1 на OS X

Тип уязвимости

Некорректная установка прав доступа

Ссылки

http://support.apple.com/kb/HT6251
Vendor Advisory
http://support.apple.com/kb/HT6251
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

Одно из

cpe:2.3:a:apple:itunes:*:*:*:*:*:*:*:*

Версия до 11.2 (включая)

cpe:2.3:a:apple:itunes:11.0:*:*:*:*:*:*:*

cpe:2.3:a:apple:itunes:11.0.1:*:*:*:*:*:*:*

cpe:2.3:a:apple:itunes:11.0.2:*:*:*:*:*:*:*

cpe:2.3:a:apple:itunes:11.0.3:*:*:*:*:*:*:*

cpe:2.3:a:apple:itunes:11.0.4:*:*:*:*:*:*:*

cpe:2.3:a:apple:itunes:11.0.5:*:*:*:*:*:*:*

cpe:2.3:a:apple:itunes:11.1:*:*:*:*:*:*:*

cpe:2.3:a:apple:itunes:11.1.1:*:*:*:*:*:*:*

cpe:2.3:a:apple:itunes:11.1.2:*:*:*:*:*:*:*

cpe:2.3:a:apple:itunes:11.1.3:*:*:*:*:*:*:*

cpe:2.3:a:apple:itunes:11.1.4:*:*:*:*:*:*:*

cpe:2.3:a:apple:itunes:11.1.5:*:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:*:*:*:*:*:*:*:*

EPSS

Процентиль: 33%

0.00133

Низкий

4.4 Medium

CVSS2

Дефекты

CWE-264

Связанные уязвимости

GHSA-wv28-hfg5-xx3j

github

больше 3 лет назад

Apple iTunes before 11.2.1 on OS X sets world-writable permissions for /Users and /Users/Shared during reboots, which allows local users to modify files, and consequently obtain access to arbitrary user accounts, via standard filesystem operations.