Összefoglaló
Az Apple Safari olyan sérülékenységeit jelentették, amelyeket a támadók kihasználva megkerülhetnek bizonyos biztonsági szabályokat, cross-site scripting (CSS/XSS) támadásokat hajthatnak végre, bizalmas adatokat szivárogtathatnak ki és feltörhetik a felhasználó sérülékeny rendszerét.
Leírás
- A “safari-extension://” URL-ek kezelése során fellépő bemeneti adat kezelési hiba kihasználható például tetszőleges JavaScript kód futtatására a telepített Safari kiegészítővel összefüggésben és helyi fájlok kiszivárogtatására könyvtár bejárási támadásokkal.
- A “file://” URL-ek házirend kezelése során fellépő hibája kihasználható tetszőleges helyi alkalmazások futtatására.
Megjegyzés: Ez a sérülékenység a Windows változatot nem érinti. - SSL tanúsítványok kezelése során fellépő hiba kihasználható inicializálatlan memóriaterület hozzáféréséhez és tetszőleges kód futtatásához.
Megjegyzés: Ez a sérülékenység az OS X Lion vagy Windows változatot nem érinti. - A WebKit többféle sérülékenységét a támadók kihasználva rendszerösszeomlás idézhető elő vagy feltörhetik a felhasználó rendszerét.
Bővebb információ:
CERT-Hungary CH-4823
CERT-Hungary CH-5116
CERT-Hungary CH-5300
CERT-Hungary CH-5574
CERT-Hungary CH-5646
CERT-Hungary CH-5745 - Töltés előtti esemény kezelése során hiba léphet fel.
Bővebb információ a #22 számú sérülékenységben:
CERT-Hungary CH-5300 - A window.open metódus kezelése során hiba léphet fel.
Bővebb információ a #28 számú sérülékenységben:
CERT-Hungary CH-5300 - A document.documentURI tulajdonság kezelése során hiba léphet fel.
Bővebb információ a #29 számú sérülékenységben:
CERT-Hungary CH-5300 - Inaktív DOM ablakok kezelése során fellépő cross-origin hibát kihasználva cross-site scripting (CSS/XSS) támadások indíthatóak.
- Private Browsing mód alatt a sütik kezelése során fellépő logikai hiba miatt a sütik tárolásra kerülnek, még ha a “Block cookies” opció értéke “Always”.
Megjegyzés: Ez a sérülékenység a Windows változatot nem érinti.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Misconfiguration (Konfiguráció)
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: support.apple.com
Egyéb referencia: vttynotes.blogspot.com
Egyéb referencia: vttynotes.blogspot.com
SECUNIA 46412
CVE-2011-1440 - NVD CVE-2011-1440
CVE-2011-2338 - NVD CVE-2011-2338
CVE-2011-2339 - NVD CVE-2011-2339
CVE-2011-2341 - NVD CVE-2011-2341
CVE-2011-2351 - NVD CVE-2011-2351
CVE-2011-2352 - NVD CVE-2011-2352
CVE-2011-2354 - NVD CVE-2011-2354
CVE-2011-2356 - NVD CVE-2011-2356
CVE-2011-2359 - NVD CVE-2011-2359
CVE-2011-2788 - NVD CVE-2011-2788
CVE-2011-2790 - NVD CVE-2011-2790
CVE-2011-2792 - NVD CVE-2011-2792
CVE-2011-2797 - NVD CVE-2011-2797
CVE-2011-2799 - NVD CVE-2011-2799
CVE-2011-2800 - NVD CVE-2011-2800
CVE-2011-2805 - NVD CVE-2011-2805
CVE-2011-2809 - NVD CVE-2011-2809
CVE-2011-2811 - NVD CVE-2011-2811
CVE-2011-2813 - NVD CVE-2011-2813
CVE-2011-2814 - NVD CVE-2011-2814
CVE-2011-2815 - NVD CVE-2011-2815
CVE-2011-2816 - NVD CVE-2011-2816
CVE-2011-2817 - NVD CVE-2011-2817
CVE-2011-2818 - NVD CVE-2011-2818
CVE-2011-2819 - NVD CVE-2011-2819
CVE-2011-2820 - NVD CVE-2011-2820
CVE-2011-2823 - NVD CVE-2011-2823
CVE-2011-2827 - NVD CVE-2011-2827
CVE-2011-2831 - NVD CVE-2011-2831
CVE-2011-3229 - NVD CVE-2011-3229
CVE-2011-3230 - NVD CVE-2011-3230
CVE-2011-3231 - NVD CVE-2011-3231
CVE-2011-3232 - NVD CVE-2011-3232
CVE-2011-3233 - NVD CVE-2011-3233
CVE-2011-3234 - NVD CVE-2011-3234
CVE-2011-3235 - NVD CVE-2011-3235
CVE-2011-3236 - NVD CVE-2011-3236
CVE-2011-3237 - NVD CVE-2011-3237
CVE-2011-3238 - NVD CVE-2011-3238
CVE-2011-3239 - NVD CVE-2011-3239
CVE-2011-3241 - NVD CVE-2011-3241
CVE-2011-3242 - NVD CVE-2011-3242
CVE-2011-3243 - NVD CVE-2011-3243
SECUNIA 44375
SECUNIA 45097
SECUNIA 45498
SECUNIA 46049
SECUNIA 46171
SECUNIA 46339
CERT-Hungary CH-4823
CERT-Hungary CH-5116
CERT-Hungary CH-5300
CERT-Hungary CH-5574
CERT-Hungary CH-5646
CERT-Hungary CH-5745