Apple Safari sérülékenységek


2016. december 15. 08:21

CH azonosító

CH-13781

Angol cím

Apple Safari Multiple Bugs Let Remote Users Obtain Potentially Sensitive Information, Conduct Cross-Site Scripting Attacks, and Execute Arbitrary Code

Felfedezés dátuma

2016.12.13.

Súlyosság

Közepes

Érintett rendszerek

Apple
Safari

Érintett verziók

Apple Safari 10.0.2 előtti verziói, melyek az OS X Yosemite v10.10.5, OS X El Capitan v10.11.6, és macOS Sierra 10.12.2 rendszereken találhatóak.

Összefoglaló

Az Apple Safari több közepes kockázati besorolású sérülékenysége vált ismertté, amelyeket kihasználva a támadó tetszőleges kódot futtathat a rendszeren, bizalmas információkhoz juthat, továbbá cross-site scripting (XSS) támadásokat hajthat végreA sérülékenységeket javító megoldások már beszerezhetők a gyártótól.

Leírás

Az Apple Safari több sérülékenységét javítja a frissítés.

Safari Reader nem szűri megfelelően a felhasználó által beírt HTML kódot, mielőtt megjeleníti azt, így a támadó a felhasználó böngészőjében tudja futtatni a saját kódját az eredeti oldal biztonsági szabályai által. Ennek eredményeképpen a támadó megszerezheti a felhasználó sütijeit (a belépésre jogosítókat is), és ezáltal az ő nevében tevékenykedhet.

Ha a felhasználó megnyit egy speciálisan elkészített weboldalt, az memóriahibát okozhat, és ezt kihasználva a támadó tetszőleges kódot futtathat az érintett rendszeren, vagy bizalmas információkhoz juthat hozzá.

Az előzőhöz hasonlóan egy speciálisan megszerkesztett weboldal, valamint Javascript utasítások, vagy HTTP átirányítás segítségével a támadó a felhasználó bizalmas információihoz juthat hozzá.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Frissítsen a legújabb verzióra: Apple Safari 10.0.2

Támadás típusa

Cross Site Scripting (XSS/CSS)
Information disclosure (Információ/adat szivárgás)
Input Validation
execute arbitrary code

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)
Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.securitytracker.com
Gyártói referencia: support.apple.com
CVE-2016-4692 - NVD CVE-2016-4692
CVE-2016-4743 - NVD CVE-2016-4743
CVE-2016-7586 - NVD CVE-2016-7586
CVE-2016-7587 - NVD CVE-2016-7587
CVE-2016-7589 - NVD CVE-2016-7589
CVE-2016-7592 - NVD CVE-2016-7592
CVE-2016-7598 - NVD CVE-2016-7598
CVE-2016-7599 - NVD CVE-2016-7599
CVE-2016-7610 - NVD CVE-2016-7610
CVE-2016-7611 - NVD CVE-2016-7611
CVE-2016-7623 - NVD CVE-2016-7623
CVE-2016-7632 - NVD CVE-2016-7632
CVE-2016-7635 - NVD CVE-2016-7635
CVE-2016-7639 - NVD CVE-2016-7639
CVE-2016-7640 - NVD CVE-2016-7640
CVE-2016-7641 - NVD CVE-2016-7641
CVE-2016-7642 - NVD CVE-2016-7642
CVE-2016-7645 - NVD CVE-2016-7645
CVE-2016-7646 - NVD CVE-2016-7646
CVE-2016-7648 - NVD CVE-2016-7648
CVE-2016-7649 - NVD CVE-2016-7649
CVE-2016-7650 - NVD CVE-2016-7650
CVE-2016-7652 - NVD CVE-2016-7652
CVE-2016-7654 - NVD CVE-2016-7654
CVE-2016-7656 - NVD CVE-2016-7656

Legfrissebb sérülékenységek
CVE-2025-24085 – Apple Multiple Products Use-After-Free sebezhetősége
CVE-2025-23006 – SonicWall SMA1000 Appliances Deserialization sebezhetősége
CVE-2024-3393 – Palo Alto Networks PAN-OS Malicious DNS Packet sebezhetősége
CVE-2025-0282 – Ivanti Connect Secure, Policy Secure, and ZTA Gateways Stack-Based Buffer Overflow sebezhetősége
CVE-2023-48365 – Qlik Sense HTTP Tunneling sebezhetősége
CVE-2024-12686 – BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) OS Command Injection sebezhetősége
CVE-2024-55591 – Fortinet FortiOS and FortiProxy Authentication Bypass sebezhetősége
CVE-2024-50603 – Aviatrix Controllers OS Command Injection sebezhetősége
CVE-2020-11023 – JQuery Cross-Site Scripting (XSS) sebezhetősége
CVE-2025-21395 – Microsoft Access Remote Code Execution sebezhetősége
Tovább a sérülékenységekhez »