DFN-CERT-2016-1151 Apple iTunes: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Windows]

DFN-CERT-2016-1151 Apple iTunes: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apple iTunes < 12.4.2 Betroffene Plattformen: Microsoft Windows 7 Microsoft Windows 8.1 Microsoft Windows 10 Mehrere Schwachstellen im Zusammenhang mit den Bibliotheken libxml2 und libxslt auf Windows-Systemen ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes, verschiedene Denial-of-Service-Angriffe (DoS) und weitere nicht spezifizierte Angriffe. Die Schwachstellen werden mit der Aktualisierung auf iTunes 12.4.2 für Windows behoben. Patch: Download von Apple iTunes http://www.apple.com/itunes/download/

Patch:

Apple Sicherheitshinweise APPLE-SA-2016-07-18-6 / HT206901 (iTunes 12.4.2)

https://support.apple.com/en-us/HT206901

CVE-2016-4614 CVE-2016-4615 CVE-2016-4616 CVE-2016-4619: Schwachstellen in
libxml2 ermöglichen nicht spezifizierte Angriffe

Durch mehrere Schwachstellen in der Bibliothek libxml2 kann es zur
Speicherkorruption kommen. Ein entfernter, nicht authentifizierter Angreifer
kann mittels speziell präparierter XML-Dokumente verschiedene nicht
spezifizierte Angriffe durchführen, zu denen typischerweise
Denial-of-Service-Angriffe (DoS) und möglicherweise auch die Ausführung
beliebigen Programmcodes gehören, die aber zumindest eine Beeinträchtigung
der Verfügbarkeit, Vertraulichkeit und Integrität bedeuten.

CVE-2016-4607 CVE-2016-4608 CVE-2016-4609 CVE-2016-4610 CVE-2016-4612:
Schwachstellen in libxslt ermöglichen nicht spezifizierte Angriffe

Durch mehrere Schwachstellen in der Bibliothek libxslt kann es zur
Speicherkorruption kommen. Ein entfernter, nicht authentifizierter Angreifer
kann mittels speziell präparierter XML-Dokumente verschiedene nicht
spezifizierte Angriffe durchführen, zu denen typischerweise
Denial-of-Service-Angriffe (DoS) und möglicherweise auch die Ausführung
beliebigen Programmcodes gehören, die aber zumindest eine Beeinträchtigung
der Verfügbarkeit, Vertraulichkeit und Integrität bedeuten.

CVE-2016-1836: Schwachstelle in Bibliothek libxml2 ermöglicht Ausführung
beliebigen Programmcodes

In der Bibliothek libxml2 kann es bei der Verarbeitung von speziall
präparierten XML-Daten zur Speicherkorruption kommen. Ein entfernter, nicht
authentifizierter Angreifer kann den Absturz einer mit libxml2 verknüpften
Anwendung auslösen (Denial-of-Service) und möglicherweise beliebigen
Programmcode ausführen.

CVE-2016-4448: Schwachstelle in libxml2 ermöglicht nicht spezifizierte
Angriffe

Eine nicht näher beschriebene Schwachstelle in libxml2 vor Version 2.9.4
besteht im Kontext der String-Verarbeitung. Ein entfernter, nicht
authentifizierter Angreifer kann die Format-String-Schwachstelle ausnutzen,
um nicht spezifizierten Einfluss auf das System zu nehmen, der aber
zumindest eine Beeinträchtigung der Verfügbarkeit, Vertraulichkeit und
Integrität bedeutet.

CVE-2016-4483: Schwachstelle in libxml2 ermöglicht
Denial-of-Service-Angriffe

In der Programmbibliothek libxml2 kann es zum Lesen über Speichergrenzen
(Out-of-bounds Read) und dadurch zu einem Absturz der mit libxml2
verknüpften Anwendung kommen. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle mittels eines präparierten XML-Dokumentes
ausnutzen, um einen Denial-of-Service-Angriff durchzuführen.

CVE-2016-4449: Schwachstelle in libxml2 ermöglicht nicht spezifizierte
Angriffe

In der Programmbibliothek libxml2 werden Inhalte von externen XML-Entitäten
(XXE) in unangemessener Weise abgerufen. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um nicht
näher spezifizierte Angriffe durchzuführen, welche die Integrität
beeinträchtigen.

CVE-2016-4447: Schwachstelle in libxml2 ermöglicht
Denial-of-Service-Angriffe

In der Funktion ‘xmlParseName’ in der Programmbibliothek libxml2 kann es zum
Zugriff auf Heap-Pufferspeicher vor dem allozierten Speicherbereich
(heap-based Buffer Underread) und dadurch zu einem Absturz der mit libxml2
verknüpften Anwendung kommen. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle mittels eines präparierten XML-Dokumentes
ausnutzen, um einen Denial-of-Service-Angriff durchzuführen.

CVE-2016-1684: Schwachstelle in libxslt ermöglicht Denial-of-Service-Angriff

In der Bibliothek libxslt vor Version 1.1.29, die unter anderem in Google
Chrome und Chromium vor Version 51.0.2704.63 verwendet wird, existiert eine
nicht näher spezifizierte Schwachstelle, durch die es zu einem
Ganzzahl-Überlauf (Integer Overflow) kommen kann. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen und einen
Denial-of-Service (DoS)-Angriff durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1151/

Download von Apple iTunes:
http://www.apple.com/itunes/download/

Schwachstelle CVE-2016-4483 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4483

Schwachstelle CVE-2016-1836 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1836

Schwachstelle CVE-2016-4447 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4447

Schwachstelle CVE-2016-4448 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4448

Schwachstelle CVE-2016-4449 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4449

Schwachstelle CVE-2016-1684 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1684

Apple Sicherheitshinweise APPLE-SA-2016-07-18-6 / HT206901 (iTunes 12.4.2):
https://support.apple.com/en-us/HT206901

Schwachstelle CVE-2016-4607 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4607

Schwachstelle CVE-2016-4608 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4608

Schwachstelle CVE-2016-4609 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4609

Schwachstelle CVE-2016-4610 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4610

Schwachstelle CVE-2016-4612 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4612

Schwachstelle CVE-2016-4614 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4614

Schwachstelle CVE-2016-4615 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4615

Schwachstelle CVE-2016-4616 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4616

Schwachstelle CVE-2016-4619 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4619

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben