Apple Safari sérülékenységek


2016. december 15. 08:21

CH azonosító

CH-13781

Angol cím

Apple Safari Multiple Bugs Let Remote Users Obtain Potentially Sensitive Information, Conduct Cross-Site Scripting Attacks, and Execute Arbitrary Code

Felfedezés dátuma

2016.12.13.

Súlyosság

Közepes

Érintett rendszerek

Apple
Safari

Érintett verziók

Apple Safari 10.0.2 előtti verziói, melyek az OS X Yosemite v10.10.5, OS X El Capitan v10.11.6, és macOS Sierra 10.12.2 rendszereken találhatóak.

Összefoglaló

Az Apple Safari több közepes kockázati besorolású sérülékenysége vált ismertté, amelyeket kihasználva a támadó tetszőleges kódot futtathat a rendszeren, bizalmas információkhoz juthat, továbbá cross-site scripting (XSS) támadásokat hajthat végreA sérülékenységeket javító megoldások már beszerezhetők a gyártótól.

Leírás

Az Apple Safari több sérülékenységét javítja a frissítés.

Safari Reader nem szűri megfelelően a felhasználó által beírt HTML kódot, mielőtt megjeleníti azt, így a támadó a felhasználó böngészőjében tudja futtatni a saját kódját az eredeti oldal biztonsági szabályai által. Ennek eredményeképpen a támadó megszerezheti a felhasználó sütijeit (a belépésre jogosítókat is), és ezáltal az ő nevében tevékenykedhet.

Ha a felhasználó megnyit egy speciálisan elkészített weboldalt, az memóriahibát okozhat, és ezt kihasználva a támadó tetszőleges kódot futtathat az érintett rendszeren, vagy bizalmas információkhoz juthat hozzá.

Az előzőhöz hasonlóan egy speciálisan megszerkesztett weboldal, valamint Javascript utasítások, vagy HTTP átirányítás segítségével a támadó a felhasználó bizalmas információihoz juthat hozzá.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Frissítsen a legújabb verzióra: Apple Safari 10.0.2

Támadás típusa

Cross Site Scripting (XSS/CSS)
Information disclosure (Információ/adat szivárgás)
Input Validation
execute arbitrary code

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)
Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.securitytracker.com
Gyártói referencia: support.apple.com
CVE-2016-4692 - NVD CVE-2016-4692
CVE-2016-4743 - NVD CVE-2016-4743
CVE-2016-7586 - NVD CVE-2016-7586
CVE-2016-7587 - NVD CVE-2016-7587
CVE-2016-7589 - NVD CVE-2016-7589
CVE-2016-7592 - NVD CVE-2016-7592
CVE-2016-7598 - NVD CVE-2016-7598
CVE-2016-7599 - NVD CVE-2016-7599
CVE-2016-7610 - NVD CVE-2016-7610
CVE-2016-7611 - NVD CVE-2016-7611
CVE-2016-7623 - NVD CVE-2016-7623
CVE-2016-7632 - NVD CVE-2016-7632
CVE-2016-7635 - NVD CVE-2016-7635
CVE-2016-7639 - NVD CVE-2016-7639
CVE-2016-7640 - NVD CVE-2016-7640
CVE-2016-7641 - NVD CVE-2016-7641
CVE-2016-7642 - NVD CVE-2016-7642
CVE-2016-7645 - NVD CVE-2016-7645
CVE-2016-7646 - NVD CVE-2016-7646
CVE-2016-7648 - NVD CVE-2016-7648
CVE-2016-7649 - NVD CVE-2016-7649
CVE-2016-7650 - NVD CVE-2016-7650
CVE-2016-7652 - NVD CVE-2016-7652
CVE-2016-7654 - NVD CVE-2016-7654
CVE-2016-7656 - NVD CVE-2016-7656

Legfrissebb sérülékenységek
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-0012 – Palo Alto Networks PAN-OS software sérülékenysége
CVE-2024-9474 – Palo Alto Networks PAN-OS Management Interface sérülékenysége
CVE-2024-43093 – Android Framework Privilege Escalation sebezhetősége
CVE-2021-26086 – Atlassian Jira Server and Data Center Path Traversal sebezhetősége
CVE-2014-2120 – Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) sebezhetősége
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
Tovább a sérülékenységekhez »