Apple iTunes < 12.6 多个漏洞（无凭据检查）

critical Nessus 插件 ID 100026

语言：

简介

远程主机上运行的应用程序受多个漏洞影响。

描述

远程主机上运行的 Apple iTunes 版本低于 12.6。因而会受到多个漏洞的影响：- expat 组件中存在多个漏洞，其中最严重的为远程代码执行漏洞。未经身份验证的远程攻击者可利用这些漏洞，造成拒绝服务情况，或在当前用户环境中执行任意代码。(CVE-2009-3270, CVE-2009-3560, CVE-2009-3720, CVE-2012-1147, CVE-2012-1148, CVE-2012-6702, CVE-2015-1283, CVE-2016-0718, CVE-2016-4472, CVE-2016-5300) - SQLite 组件中存在多个漏洞，其中最严重的为远程代码执行漏洞。未经身份验证的远程攻击者可利用这些漏洞，诱使用户打开特制文件，从而造成拒绝服务情况，或在当前用户环境中执行任意代码。(CVE-2013-7443, CVE-2015-3414, CVE-2015-3415, CVE-2015-3416, CVE-2015-3717, CVE-2015-6607, CVE-2016-6153) - 由于以明文传输客户端凭证，APNs 服务器组件中存在信息泄露漏洞。中间人攻击者可借此泄露敏感信息。(CVE-2017-2383) - 由于未正确处理 RenderBox 对象，WebKit 组件中存在释放后使用错误。未经身份验证的远程攻击者可利用此问题执行任意代码。(CVE-2017-2463) - 由于未正确验证用户提供的输入，WebKit 组件中存在多个通用跨站脚本 (XSS) 漏洞。未经身份验证的远程攻击者可利用这些漏洞，通过诱使用户访问特制的网页，在用户的浏览器会话中执行任意脚本代码。(CVE-2017-2479, CVE-2017-2480, CVE-2017-2493) - 由于未正确验证用户提供的输入，transform.c 中 xsltAddTextString() 函数的 libxslt 组件存在整数溢出情况。未经身份验证的远程攻击者可利用此情况，造成越界写入，进而执行任意代码。(CVE-2017-5029) 请注意，Nessus 并未针对这些问题进行测试，而仅依赖应用程序自我报告的版本号。