UPDATE: DFN-CERT-2017-0508 Apple iTunes: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Apple][Windows]

UPDATE: DFN-CERT-2017-0508 Apple iTunes: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes [Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (23.03.2017):
Die Sicherheitshinweise APPLE-SA-2017-03-22-1 (iTunes for Windows 12.6)
und APPLE-SA-2017-03-22-2 (iTunes for Mac 12.6) mit weiteren Informationen
zu den Sicherheitsupdates sind jetzt auch online verfügbar (siehe
hinzugefügte Referenzen).
Version 1 (23.03.2017):
Neues Advisory

Betroffene Software:

Apple iTunes < 12.6 Betroffene Plattformen: Apple Mac OS X 10.9.5 Apple Mac OS X 10.10.5 Apple Mac OS X 10.11.6 macOS Sierra 10.12.3 Microsoft Windows 7 Microsoft Windows 8.1 Microsoft Windows 10 Mehrere Schwachstellen in SQLite und Expat, welche von Apple iTunes auf Windows 7 und späteren Versionen sowie Mac OS X 10.9.5 und späteren Versionen verwendet werden, ermöglichen einem entfernten, nicht authentifizierten Angreifer das Erlangen von Privilegien, die Ausführung beliebigen Programmcodes, das Umgehen von Sicherheitsvorkehrungen und infolgedessen das Ausspähen von Informationen sowie verschiedene Denial-of-Service (DoS)-Angriffe. Ein lokaler, nicht authentisierter Angreifer kann eine weitere Schwachstelle ebenfalls zum Ausspähen von Informationen ausnutzen. Apple stellt die iTunes Version 12.6 für Windows und für Mac OS X, mit der SQLite auf Version 3.15.2 und Expat auf Version 2.2.0 aktualisiert werden, zur Behebung der Schwachstellen bereit. Während die neue Software bereits verfügbar ist, werden die Informationen zu diesen Sicherheitsupdates noch nicht auf der Apple Webseite veröffentlicht. Sobald Apple diese verfügbar macht, werden die entsprechenden Referenzen nachgeliefert. Patch: Download von Apple iTunes https://www.apple.com/itunes/download/

Patch:

Apple Security Update APPLE-SA-2017-03-22-1 (iTunes for Windows 12.6)

https://support.apple.com/kb/HT207599

Patch:

Apple Security Update APPLE-SA-2017-03-22-2 (iTunes for Mac 12.6)

https://support.apple.com/kb/HT207598

CVE-2016-6153: Schwachstelle in SQLite ermöglicht Ausspähen von
Informationen

Eine Schwachstelle in SQLite basiert auf einem Fehler in der Logik bei der
Auswahl des temporären Verzeichnisses. SQLite überprüft verschiedene
bekannte Pfade auf deren Leseberechtigung, die z.B. auf speziell gehärteten
Systemen jedoch fehlschlägt, wenn die Leseberechtigung dort nicht gegeben
ist (z.B. bei Mode 1733). In diesem Fall wird das aktuelle
Arbeitsverzeichnis “.” ausgewählt. Die Berechtigungen werden auch für dieses
Verzeichnis geprüft, aber anschließend ignoriert. Wenn SQLite als Bibliothek
in Anwendungen eingebunden wird, kann dieses Verhalten, z.B. bei einem
Wechsel des Arbeitsverzeichnisses in einen unsicheren Pfad, zum Datenleck
werden.

CVE-2016-4472: Schwachstelle in Expat ermöglicht Ausführen beliebigen
Programmcodes

Die zur Behebung der Schwachstellen CVE-2015-1283 und CVE-2015-2716
implementierten Überlauf-Prüfungen können durch bestimmte Optimierungen aus
einigen Compilern heraus umgangen werden, so dass die Schwachstellen
weiterhin bestehen. Ein entfernter, nicht authentisierter Angreifer kann
dies ausnutzen, um einen Denial-of-Service (DoS)-Zustand für eine mit Expat
verknüpfte Anwendung herbeizuführen oder beliebigen Programmcode
auszuführen.

CVE-2016-5300: Schwachstelle in Expat ermöglicht Denial-of-Service-Angriffe

Eine Schwachstelle in Expat ermöglicht Denial-of-Service (DoS)-Angriffe. Der
XML-Parser wählt zu schwache, eingegrenzte Startwerte (Seeds) für den
Zufallszahlengenerator. Diese Schwachstelle basiert auf einem fehlerhaften
Sicherheitsupdate für die Schwachstelle CVE-2012-0876. Ein entfernter, nicht
authentifizierter Angreifer kann dies mit Hilfe von XML-Dateien mit
manipulierten Identifiern ausnutzen und einen Denial-of-Service-Zustand
durch CPU-Auslastung verursachen.

CVE-2012-6702: Schwachstelle in Expat ermöglicht Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle in Expat ermöglicht das Ausspähen von Informationen. Nach
einem Aufruf der Funktion XML_Parse() wird immer der gleiche Startwert
(Seed) für den Zufallszahlengenerator rand() verwendet, so dass nicht
zufällige, sondern berechenbare Zahlen erzeugt werden. Diese Schwachstelle
wurde durch ein Sicherheitsupdate zur Behebung der Schwachstelle
CVE-2012-0876 eingeführt. Ein entfernter, nicht authentifizierter Angreifer
kann Ergebnisse des Zufallszahlengenerators vorhersagen und eventuell für
weitere Angriffe ausnutzen.

CVE-2016-0718: Schwachstelle in Expat ermöglicht Ausführen beliebigen
Programmcodes

Bei der Verarbeitung von XML-Daten und der zugehörigen Erstellung von
Fehlermeldungen kann es in Expat zu Pufferüberläufen kommen, die sich als
Schutzverletzung (Segmentation Fault) oder Speicherkorruption manifestieren.
Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe speziell
präparierter XML-Daten einen Denial-of-Service-Angriff auf eine mit Expat
verknüpfte Anwendung durchführen und darüber hinaus beliebigen Programmcode
mit den Rechten des Benutzers der Anwendung zur Ausführung bringen.

CVE-2015-6607: Schwachstelle in SQLite erlaubt Privilegieneskalation

In SQLite bevor 3.8.9, wie u.a. verwendet in Android bevor 5.1.1 LMY48T,
besteht eine nicht näher beschriebene Schwachstelle. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, mittels einer
präparierten Anwendung, zu deren Ausführung er einen Benutzer verleitet, um
Privilegien auf dem betroffenen System zu erlangen.

CVE-2013-7443: Schwachstelle in SQLite ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle in der “skip-scan optimization” von SQLite basiert auf
einem Speicherüberlauf, der zu einer Speicherkorruption führt. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um Anwendungen, die auf SQLite aufsetzen, abstürzen zu lassen und
dadurch einen Denial-of-Service-Zustand herbeizuführen.

CVE-2015-1283: Heap-Speicherüberlauf-Schwachstelle in Expat ermöglicht das
Ausführen beliebigen Programmcodes

Eine nicht näher beschriebene Integer-Überlauf-Schwachstelle in Expat bis
einschließlich Version 2.1.0, wie u.a. verwendet in Google Chrome bevor
44.0.2403.89, ermöglicht einem entfernten, nicht authentisierten Angreifer
den Heap-Pufferspeicher zum Überlauf zu bringen (“heap-buffer-overflow”).
Dadurch kann der Angreifer einen Denial-of-Service (DoS)-Zustand
herbeiführen oder, mittels präparierter XML-Daten, anderen nicht näher
spezifizierten Einfluss nehmen, wozu möglicherweise auch das Ausführen
beliebigen Programmcodes gehört. Ein entfernter, nicht authentisierter
Angreifer kann die Schwachstelle über unbekannte Angriffsvektoren für einen
Denial-of-Service (DoS)-Angriff oder möglicherweise zur Ausführung
beliebigen Programmcodes ausnutzen.

CVE-2015-3417: Schwachstelle in FFmpeg ermöglicht Ausführen beliebigen
Programmcodes

Eine Schwachstelle in der Funktion ff_h264_free_tables in der Datei
libavcodec/h264.c in FFmpeg vor Version 2.3.6 führt bei der Verarbeitung von
präparierten H.264-Dateien dazu, dass Speicher nach dessen Freigabe weiter
benutzt werden kann (“use-after-free”). Ein entfernter, nicht
authentifizierter Angreifer kann einen Denial-of-Service-Angriff durchführen
oder beliebigen Programmcode ausführen.

CVE-2015-3416: Schwachstelle in SQLite ermöglicht das Ausführen beliebigen
Programmcodes

Eine Schwachstelle in der Funktion sqlite3VXPrintf in der Datei printf.c
führt zu einer fehlerhaften Behandlung von Angaben zur Genauigkeit und Länge
von Werten bei der Umwandlung von Gleitkommazahlen. Durch kontextabhängige
Manipulationen, mittels sehr großer Zahlen innerhalb des Aufrufs einer
Druck-Funktion in einer SELECT-Anweisung, können Integer-Überläufe und
Stack-basierte Überläufe hervorgerufen werden. Ein entfernter, nicht
authentifizierter Angreifer kann einen Denial-of-Service-Angriff durchführen
oder beliebigen Programmcode ausführen.

CVE-2015-3415: Schwachstelle in SQLite ermöglicht das Ausführen beliebigen
Programmcodes

Eine Schwachstelle in der Funktion sqlite3VdbeExec in der Datei vdbe.c in
SQLite beruht auf einer fehlerhaften Implementierung des
Vergleichs-Operators. Dadurch sind kontextabhängige Manipulationen möglich,
die zu einer fehlerhaften Freigabe-Operation (invalid free operation) führen
können. Ein entfernter, nicht authentifizierter Angreifer kann einen
Denial-of-Service-Angriff durchführen oder beliebigen Programmcode
ausführen.

CVE-2015-3414: Schwachstelle in SQLite ermöglicht das Ausführen beliebigen
Programmcodes

Eine Schwachstelle in SQLite führt zu einer fehlerhaften Entfernung von
Anführungszeichen aus einer Aufzählung von Sortierkriterien am Ende einer
SELECT-Anweisung. Dadurch sind kontextabhängige Manipulationen möglich, die
zur Verwendung von nicht initialisiertem Speicher oder Prozessabstürzen
führen. Ein entfernter, nicht authentifizierter Angreifer kann einen
Denial-of-Service-Angriff durchführen oder beliebigen Programmcode
ausführen.

CVE-2012-1147: Schwachstelle in Expat erlaubt Denial-of-Service-Angriff

In Expat vor Version 2.1.0 wird in der Datei
‘wxWidgets-2.9.0/src/expat/xmlwf/readfilemap.c’ ein Datei-Bezeichner nicht
geschlossen. Dies ermöglicht einem entfernten, nicht authentisierten
Angreifer einen Denial-of-Service (DoS)-Angriff durchzuführen und unter
Umständen auf sensible Daten zuzugreifen.

CVE-2012-1148: Schwachstelle in Expat erlaubt Denial-of-Service

Expat vor Version 2.1.0 enthält eine Speicherleck-Schwachstelle in der Datei
xml.parse.cpp, falls die Funktion realloc_fcn() ‘NULL’ zurück gibt. Einem
entfernten, nicht authentisierten Angreifer erlaubt dies, durch das Senden
von präparierten, XML-basierten Anfragen, einen Denial-of-Service-Angriff
durchzuführen.

CVE-2009-3560: Schwachstelle in Expat erlaubt Denial-of-Service-Angriffe

Bestimmte Sequenzen von Multibyte Zeichen in einer UTF-8 Kodierung können
dazu führen, dass die Funktion big2_toUtf8() aus der Bibliothek libexpat
über das Ende der Zeichenkette hinaus liest, was zum Absturz des Programms
führt. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle für einen Denial-of-Service-Angriff gegen Anwendungen
ausnutzen, die diese Bibliothek verwenden.

CVE-2009-3720: Schwachstelle in Expat ermöglicht Denial-of-Service

Bestimmte Sequenzen von Multibyte Zeichen in einer UTF-8 Kodierung können
dazu führen, dass die Funktion updatePosition() aus der Bibliothek libexpat
über das Ende der Zeichenkette hinaus liest, was zum Absturz des Programms
führt. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle für einen Denial-of-Service-Angriff gegen Anwendungen
ausnutzen, die diese Bibliothek verwenden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0508/

Schwachstelle CVE-2012-1148 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-1148

Download von Apple iTunes:
https://www.apple.com/itunes/download/

Schwachstelle CVE-2009-3560 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3560

Schwachstelle CVE-2009-3720 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3720

Schwachstelle CVE-2015-3414 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3414

Schwachstelle CVE-2015-3415 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3415

Schwachstelle CVE-2015-3416 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3416

Schwachstelle CVE-2015-3417 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3417

Schwachstelle CVE-2013-7443 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-7443

Schwachstelle CVE-2015-1283 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1283

Schwachstelle CVE-2015-6607 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6607

Schwachstelle CVE-2012-1147 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-1147

Schwachstelle CVE-2016-0718 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0718

Schwachstelle CVE-2012-6702 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6702

Schwachstelle CVE-2016-5300 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5300

Schwachstelle CVE-2016-4472 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4472

Schwachstelle CVE-2016-6153 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6153

Apple Security Update APPLE-SA-2017-03-22-1 (iTunes for Windows 12.6):
https://support.apple.com/kb/HT207599

Apple Security Update APPLE-SA-2017-03-22-2 (iTunes for Mac 12.6):
https://support.apple.com/kb/HT207598

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben