Уязвимость выполнения произвольного кода в iTunes из-за ошибки загрузки динамических библиотек
Описание
В установочном пакете iTunes существует ошибка, связанная с загрузкой динамических библиотек. При запуске установщика iTunes в ненадежном каталоге злоумышленник способен выполнить произвольный код.
Затронутые версии ПО
- macOS перед версией Catalina 10.15.1
- iTunes для Windows до версии 12.10.2
Тип уязвимости
Выполнение произвольного кода
Ссылки
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 12.10.2 (исключая)Версия до 10.15.1 (исключая)
Одно из
cpe:2.3:a:apple:itunes:*:*:*:*:*:windows:*:*
cpe:2.3:o:apple:mac_os_x:*:*:*:*:*:*:*:*
EPSS
Процентиль: 37%
0.00161
Низкий
7.8 High
CVSS3
4.4 Medium
CVSS2
Дефекты
CWE-426
Связанные уязвимости
github
больше 3 лет назад
A dynamic library loading issue existed in iTunes setup. This was addressed with improved path searching. This issue is fixed in macOS Catalina 10.15.1, iTunes for Windows 12.10.2. Running the iTunes installer in an untrusted directory may result in arbitrary code execution.
EPSS
Процентиль: 37%
0.00161
Низкий
7.8 High
CVSS3
4.4 Medium
CVSS2
Дефекты
CWE-426