DFN-CERT-2017-2278 Apple iTunes for Windows: Mehrere Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes und das Ausspähen von Informationen [Windows]

DFN-CERT-2017-2278 Apple iTunes for Windows: Mehrere Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes und das Ausspähen von Informationen [Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apple iTunes < 12.7.2 Betroffene Plattformen: Microsoft Windows Microsoft Windows 7 Microsoft Windows 8.1 Microsoft Windows 10 Mehrere Schwachstellen in WebKit ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes mit Hilfe speziell präparierter Webinhalte, die von iTunes dargestellt werden. Eine weitere Schwachstelle ermöglicht einem Angreifer in einer privilegierten Position im Netzwerk das Ausspähen von Informationen über Benutzer der Software. Der Hersteller hat iTunes 12.7.2 für Windows bereits letzte Woche als Sicherheitsupdate veröffentlicht und aktualisiert seinen Sicherheitshinweis, um Informationen zu den behobenen Schwachstellen zu geben. Patch: Apple Sicherheitshinweis APPLE-SA-2017-12-13-4 / HT208326 (iTunes 12.7.2 for Windows) https://support.apple.com/kb/HT208326

CVE-2017-13864: Schwachstelle in APNs Server ermöglicht Ausspähen von
Informationen

Eine Schwachstelle im Apple Push Notifications (APNs) Server ermöglicht
einem entfernten, nicht authentisierten Angreifer in einer privilegierten
Position im Netzwerk das Ausspähen von Informationen über Benutzer. Im
Sicherheitshinweis spricht der Hersteller von ‘User Tracking’; die
Informationen können sich von daher beispielsweise auf das Nutzerverhalten
oder auf dessen Position beziehen. Die Schwachstelle ist im Kontext der
Verwendung von Benutzerzertifikaten aufgetreten.

CVE-2017-7156 CVE-2017-7157 CVE-2017-13856 CVE-2017-13866 CVE-2017-13870:
Schwachstellen in WebKit ermöglichen Ausführung beliebiegen Programmcodes

WebKit enthält mehrere Schwachstellen, die auf Speicherfehlern (Memory
Corruptions) bei der Verarbeitung von Webinhalten beruhen und von einem
entfernten, nicht authentisierten Angreifer ausgenutzt werden können, um
beliebigen Programmcode zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2278/

Apple Sicherheitshinweis APPLE-SA-2017-12-13-4 / HT208326 (iTunes 12.7.2 for
Windows):
https://support.apple.com/kb/HT208326

Schwachstelle CVE-2017-13856 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-13856

Schwachstelle CVE-2017-13864 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-13864

Schwachstelle CVE-2017-13866 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-13866

Schwachstelle CVE-2017-13870 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-13870

Schwachstelle CVE-2017-7156 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7156

Schwachstelle CVE-2017-7157 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7157

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben