 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 18 mars 2009
No CERTA-2009-AVI-098 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilités dans
iTunes
Tableau 1: Gestion du document
| Référence |
CERTA-2009-AVI-098 |
| Titre |
Vulnérabilités
dans iTunes |
| Date de la première
version |
18 mars 2009 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité Apple HT3487 du 12 mars
2009 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Déni de service à distance ;
- atteinte à la confidentialité des
données.
Apple iTunes versions inférieures à 8.1.
Deux vulnérabilités présentes dans
iTunes permettent à un individu malveillant de
réaliser un déni de service et d'atteindre
à la confidentialité des données à
distance.
Deux vulnérabilités ont été
découvertes dans iTunes :
- la première (CVE-2009-0016) concerne un manque de
validation d'un paramètre présent dans
l'en-tête des messages au format DAAP (Digital Audio Access Protocol). Un
individu malveillant exploitant cette
vulnérabilité peut réaliser un
déni de service à distance au moyen d'un
message au format DAAP
spécialement construit. Cette
vulnérabilité affecte uniquement les versions
pour Windows d'iTunes.
- la seconde vulnérabilité (CVE-2009-0146)
affecte une fonctionnalité d'iTunes. Un
individu malveillant peut récupérer les
données de connexion au moyen d'une baladodiffusion
(podcast) spécialement
construite.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 18 mars 2009
- version initiale.
CERTA
2012-01-04
|
|
)
