Nationaal Cyber Security Centrum - Ministerie van Veiligheid en Justitie

Beveiligingsadvies

Kansniveau is gemiddeld Schadeniveau is hoog NCSC-2016-0847 [1.00]

Meerdere kwetsbaarheden verholpen in Apple iTunes

21-09-2016 - Er bevinden zich meerdere kwetsbaarheden in Apple iTunes voor Windows. Apple heeft updates beschikbaar gesteld om de kwetsbaarheden te verhelpen.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Meerdere kwetsbaarheden verholpen in Apple iTunes
Advisory ID     : NCSC-2016-0847
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2016-4728, CVE-2016-4758, CVE-2016-4759,
                  CVE-2016-4760, CVE-2016-4762, CVE-2016-4763,
                  CVE-2016-4765, CVE-2016-4766, CVE-2016-4767,
                  CVE-2016-4768, CVE-2016-4769
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Manipulatie van gegevens
                  Remote code execution (Gebruikersrechten)
                  Toegang tot gevoelige gegevens
                  Toegang tot systeemgegevens
Uitgiftedatum   : 20160921
Toepassing      : Apple iTunes
Versie(s)       : < 12.5.1
Platform(s)     : Microsoft Windows

Samenvatting
   Er bevinden zich meerdere kwetsbaarheden in Apple iTunes voor
   Windows. Apple heeft updates beschikbaar gesteld om de
   kwetsbaarheden te verhelpen.

Gevolgen
   Een kwaadwillende kan de kwetsbaarheden mogelijk misbruiken voor het
   manipuleren van gegevens, het toegang verkrijgen tot gevoelige
   gegevens of systeeminformatie en het uitvoeren van willekeurige code
   onder de rechten van de kwetsbare applicatie.

Beschrijving
   - CVE-2016-4769, CVE-2016-4768, CVE-2016-4767, CVE-2016-4766,
   CVE-2016-4765, CVE-2016-4762, CVE-2016-4759
   Het verwerken van malafide web-content kan ertoe leiden dat er
   willekeurige code wordt uitgevoerd.
   
   - CVE-2016-4763
   Een kwaadwillende met rechten binnen het netwerk kan mogelijk
   netwerkverkeer onderscheppen en aanpassen dat bedoeld is voor
   applicaties die gebruikmaken van WKWebView met HTTPS. 
   
   - CVE-2016-4760
   Door Safari's ondersteuning van HTTP/0.9 kan een malafide webpagina
   mogelijk toegang verkrijgen tot niet-HTTP services. 
   
   - CVE-2016-4758
   Het bezoeken van een malafide website kan mogelijk leiden tot het
   lekken van gevoelige informatie. 
   
   - CVE-2016-4728
   Door een parseerfout in het afhandelen van error-prototypes leidt
   het verwerken van malafide web-content mogelijk tot het uitvoeren
   van willekeurige code.

Mogelijke oplossingen
   -= Apple =-
   Apple heeft updates voor iTunes 12.5.1 voor Windows beschikbaar
   gesteld om de kwetsbaarheden te verhelpen. Voor meer informatie zie:
   
   https://support.apple.com/en-us/HT207158
   http://prod.lists.apple.com/archives/security-announce/2016/Sep
      /msg00012.html

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8
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=o8lF
-----END PGP SIGNATURE-----

Wat is het NCSC?

NCSCstill

CSBN 2017

CSBN 2017