»гнорирование 'Content-type' заголовка, посланного Web сервером в Apple Safari

ƒата публикации:
07.02.2005
¬сего просмотров:
1101
ќпасность:
Ќизка€
Ќаличие исправлени€:
 оличество у€звимостей:
1
CVSSv2 рейтинг:
CVE ID:
Ќет данных
¬ектор эксплуатации:
¬оздействие:
CWE ID:
Ќет данных
Ќаличие эксплоита:
Ќет данных
”€звимые продукты:
”€звимые версии: Apple Safari 1.2.4 v125.12

ќписание: ”€звимость в Apple Safari позвол€ет удаленному Web серверу заставить браузер обработать текстовую информацию как HTML страницу.

Ѕраузер игнорирует значение HTTP 'Content-type' заголовка, посланного Web сервера. ¬ результате, удаленный web сервер может представить текст, который будет обработан как html. ¬ результате возможно выполнить XSS нападение, если сервер не фильтрует HTML код в текстовых данных. ѕример:

 Content-type: text/plain
<HTML><BODY><FONT color="red">Your browser contains a security problem
if this text is red.</FONT></BODY></HTML>

URL производител€: http://www.apple.com/

–ешение:—пособов устранени€ обнаруженной у€звимости не существует в насто€щее врем€.

—сылки: Input Validation Vulnerability in Apple Safari version 1.2.4 v125.12

или введите им€

CAPTCHA