Множественные уязвимости в Safari

Дата публикации:
17.04.2008
Дата изменения:
15.07.2008
Всего просмотров:
1516
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2008-1025
CVE-2008-1026
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Отказ в обслуживании
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Safari 3.x
Safari for Windows 3.x
Уязвимые версии: Safari версии до 3.1.1

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, вызвать отказ в обслуживании и скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки при обработке URL, содержащих двоеточие в имени хоста. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный код сценария в браузере жертвы.

2. Целочисленное переполнение обнаружено в компиляторе регулярных выражений в WebKit в файле JavaScriptCore/pcre/pcre_compile.cpp. Удаленный пользователь может с помощью специально сформированного регулярного выражения вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

URL производителя: www.apple.com/safari/download/

Решение: Установите последнюю версию 3.1.1 с сайта производителя.

Ссылки: ZDI-08-022: Apple Safari WebKit PCRE Handling Integer Overflow Vulnerability
http://support.apple.com/kb/HT1467

или введите имя

CAPTCHA