Vulnerabilidad en la configuración de iTunes en macOS Catalina y iTunes para Windows de Apple (CVE-2019-8801)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-426 Ruta de búsqueda no confiable

Fecha de publicación:

18/12/2019

Última modificación:

30/12/2019

Descripción

Un problema de carga dinámica de la biblioteca existía en la configuración de iTunes. Esto fue abordado con una mejor búsqueda de ruta. Este problema es corregido en macOS Catalina versión 10.15.1, iTunes para Windows versión 12.10.2. Ejecutar el instalador de iTunes en un directorio no confiable puede resultar en una ejecución de código arbitrario.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.80 ALTA
Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.80

Gravedad 3.x

ALTA

Vector 2.0

AV:L/AC:M/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.40 MEDIA
Vector: AV:L/AC:M/Au:N/C:P/I:P/A:P

Vector de acceso (AV): Local
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico