CVE-2016-1742

Опубликовано: 20 мая 2016

Источник: nvd

CVSS3: 7.8

CVSS2: 7.2

EPSS Низкий

Уязвимость использования ненадёжного пути поиска в установщике Apple iTunes, позволяющая локальным пользователям повысить уровень доступа посредством троянской DLL

Описание

В установщике Apple iTunes существует уязвимость использования ненадёжного пути поиска, которая позволяет локальным злоумышленникам повысить уровень доступа. Это достигается путём внедрения троянской библиотеки DLL в текущий рабочий каталог.

Затронутые версии ПО

Все версии Apple iTunes до релиза 12.4

Тип уязвимости

Повышение уровня доступа

Ссылки

http://lists.apple.com/archives/security-announce/2016/May/msg00006.html
Vendor Advisory
http://www.securitytracker.com/id/1035887
https://support.apple.com/HT206379
Vendor Advisory
http://lists.apple.com/archives/security-announce/2016/May/msg00006.html
Vendor Advisory
http://www.securitytracker.com/id/1035887
https://support.apple.com/HT206379
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:apple:itunes:*:*:*:*:*:*:*:*

Версия до 12.3.1 (включая)

EPSS

Процентиль: 38%

0.00164

Низкий

7.8 High

CVSS3

7.2 High

CVSS2

Дефекты

CWE-264

Связанные уязвимости

GHSA-qcc8-2v4m-qw7h

CVSS3: 7.8

github

больше 3 лет назад

Untrusted search path vulnerability in the installer in Apple iTunes before 12.4 allows local users to gain privileges via a Trojan horse DLL in the current working directory.

BDU:2016-01427

fstec

больше 9 лет назад

Уязвимость мультимедийного проигрывателя iTunes, позволяющая нарушителю повысить свои привилегии