FrSIRT - Apple iPhone and iPod touch Multiple Code Execution Vulnerabilities / Exploit

French Security Incident Response Team

Français

English

Apple iPhone and iPod touch Multiple Code Execution Vulnerabilities

Date de Publication : 2008-07-14 © FrSIRT.COM
Titre : Apple iPhone and iPod touch Multiple Code Execution Vulnerabilities
Identifiant : FrSIRT/AVIS-2008-2094
CVE ID : CVE-2006-2783 - CVE-2007-6284 - CVE-2008-0050 - CVE-2008-0177 - CVE-2008-1025 - CVE-2008-1026 - CVE-2008-1588 - CVE-2008-1589 - CVE-2008-1590 - CVE-2008-1767 - CVE-2008-2303 - CVE-2008-2307 - CVE-2008-2317
Risque : Critique (4/4) -

Exploitable à distance : Oui
Exploitable en local : Oui

En savoir plus

Description

Produits affectés

Solution

Références

Description Technique

Plusieurs vulnérabilités ont été identifiées dans Apple iPhone et iPod touch, elles pourraient être exploitées par des attaquants afin de contourner les mesures de sécurité, obtenir des informations sensibles, causer un déni de service ou exécuter des commandes arbitraires. Ces failles résultent d'erreurs présentes dans CFNetwork, Kernel, Safari, WebKit, WebCore, libxslt et JavaScriptCore, ce qui pourrait être exploité afin d'usurper l'identifié d'un site légitime, conduire des attaques par cross site scripting, altérer le fonctionnement d'une application vulnérable ou exécuter un code arbitraire via une page web malicieuse.

Crédit

Vulnérabilités découvertes par Hiromitsu Takagi, SkyLined (Google), Chris Weber (Casaba Security), James Urquhart, Peter Vreudegnhil, ZDI, Anthony de Almeida Lopes (Outpost24 AB), Chris Evans (Google Security Team), Itzik Kotler et Jonathan Rom (Radware), Robert Swiecki (Google Security Team), David Bloom, et Charlie Miller (Independent Security Evaluators).

Historique

2008-07-14 : Version Initiale

Recevez les bulletins FrSIRT

Le service FrSIRT VNS permet aux professionnels de la sécurité (RSSI, DSI, administrateurs et consultants) de recevoir en temps-réel, par email, SMS et flux RSS/XML, des bulletins de vulnérabilités complets, détaillés et personnalisés.

Recherche

Newsletter

	Apple TV Multiple File Processing Code Execution Vulnerabilities
	Apple Mac OS X Code Execution Vulnerabilities
	Apple iPhone Code Execution Vulnerabilities
	Apple QuickTime Multiple Remote Code Execution Vulnerabilities
	Apple iTunes Driver Integer Overflow Privilege Escalation Vulnerability
	Apple iPod touch Code Execution Vulnerabilities
	Apple Bonjour for Windows DNS Spoofing and DoS Vulnerabilities

	IBM Lotus Quickr Denial of Service Vulnerabilities
	IBM Tivoli Netcool/Webtop Multiple Security Bypass Vulnerabilities
	IBM WebSphere Application Server Security Exposure Vulnerabilities
	IBM DB2 Universal Database Multiple Denial of Service
	IBM AIX "swcons" Insecure Permission Privilege Escalation Vulnerability
	IBM WebSphere Application Server Cross Site Scripting Vulnerability
	IBM DB2 CLR Stored Procedures Unspecified Vulnerability

	Sun Solaris ACL UFS File Systems Denial of Service Vulnerability
	Sun Solaris Text Editors Tag Files Local Code Execution Vulnerability
	Sun Management Center Remote Denial of Service Vulnerability
	Sun Solaris Bzip2 Archive Handling Denial of Service Vulnerability
	Sun Solaris GNU Tar Headers Handling Buffer Overflow Vulnerability
	Sun Solaris Covert Channel Local Security Bypass Vulnerability
	Sun Solaris NFS RPC Zone Denial of Service Vulnerability