Множественные уязвимости в Apple Safari

Дата публикации:
20.03.2008
Всего просмотров:
1305
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2008-1002
CVE-2008-1003
CVE-2008-1004
CVE-2008-1005
CVE-2008-1006
CVE-2008-1007
CVE-2008-1008
CVE-2008-1009
CVE-2008-1010
CVE-2008-1011
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Раскрытие важных данных
Обход ограничений безопасности
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Safari 2.x
Safari 3.x
Уязвимые версии: Apple Safari версии до 3.1

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти ограничения безопасности, произвести XSS нападение, получить доступ к важным данным и скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки при обработке "javascript:" URL. Удаленный пользователь может с помощью специально сформированного Web сайта выполнить произвольный код сценария в браузере жертвы в контексте безопасности другого Web сайта.

2. Уязвимость существует из-за ошибки при обработке web страниц, с установленным свойством document.domain. Злоумышленник может произвести XSS атаку между сайтами с установленным document.domain свойством или между HTTP и HTTPS сайтами с одинаковым document.domain.

3. Уязвимость существует из-за ошибки в Web Inspector, которая позволяет внедрить код сценария, который будет запущен в контексте других доменов и сможет прочитать произвольные файлы на системе пользователя при проверке специально сформированной страницы.

4. Уязвимость существует из-за ошибки в методе ввода Kotoeri. Злоумышленник может запросить обратную конвертацию и отобразить данные в поле password.

5. Уязвимость существует из-за ошибки при обработке функции "window.open()". Удаленный пользователь может с помощью специально сформированного Web сайта изменить контекст безопасности для открываемого кона и выполнить произвольный код сценария.

6. Уязвимость существует из-за того, что политика навигации фреймов не применяется для Java апплетов. Удаленный пользователь может с помощью специально сформированного Web сайта произвести XSS нападение и повысить свои привилегии на системе.

7. Уязвимость существует из-за неизвестной ошибки при обработке свойства document.domain. Удаленный пользователь может произвести XSS атаку.

8. Уязвимость существует из-за ошибки при обработке объектов истории посещений страниц. Злоумышленник может внедрить Javascript сценарий, который будет запущен в контексте безопасности других фреймов.

9. Уязвимость существует из-за ошибки при обработке регулярных javascript выражений. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать переполнение буфера и выполнить произвольный код на целевой системе.

10. Уязвимость существует из-за ошибки в WebKit, которая позволяет выполнение экземпляров метода из одного фрейма в контексте другого. Удаленный пользователь может произвести XSS нападение.

URL производителя: www.apple.com/safari

Решение: Установите последнюю версию 3.1 с сайта производителя.

или введите имя

CAPTCHA