Apple Safari sérülékenységek


2016. december 15. 08:21

CH azonosító

CH-13781

Angol cím

Apple Safari Multiple Bugs Let Remote Users Obtain Potentially Sensitive Information, Conduct Cross-Site Scripting Attacks, and Execute Arbitrary Code

Felfedezés dátuma

2016.12.13.

Súlyosság

Közepes

Érintett rendszerek

Apple
Safari

Érintett verziók

Apple Safari 10.0.2 előtti verziói, melyek az OS X Yosemite v10.10.5, OS X El Capitan v10.11.6, és macOS Sierra 10.12.2 rendszereken találhatóak.

Összefoglaló

Az Apple Safari több közepes kockázati besorolású sérülékenysége vált ismertté, amelyeket kihasználva a támadó tetszőleges kódot futtathat a rendszeren, bizalmas információkhoz juthat, továbbá cross-site scripting (XSS) támadásokat hajthat végreA sérülékenységeket javító megoldások már beszerezhetők a gyártótól.

Leírás

Az Apple Safari több sérülékenységét javítja a frissítés.

Safari Reader nem szűri megfelelően a felhasználó által beírt HTML kódot, mielőtt megjeleníti azt, így a támadó a felhasználó böngészőjében tudja futtatni a saját kódját az eredeti oldal biztonsági szabályai által. Ennek eredményeképpen a támadó megszerezheti a felhasználó sütijeit (a belépésre jogosítókat is), és ezáltal az ő nevében tevékenykedhet.

Ha a felhasználó megnyit egy speciálisan elkészített weboldalt, az memóriahibát okozhat, és ezt kihasználva a támadó tetszőleges kódot futtathat az érintett rendszeren, vagy bizalmas információkhoz juthat hozzá.

Az előzőhöz hasonlóan egy speciálisan megszerkesztett weboldal, valamint Javascript utasítások, vagy HTTP átirányítás segítségével a támadó a felhasználó bizalmas információihoz juthat hozzá.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Frissítsen a legújabb verzióra: Apple Safari 10.0.2

Támadás típusa

Cross Site Scripting (XSS/CSS)
Information disclosure (Információ/adat szivárgás)
Input Validation
execute arbitrary code

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)
Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.securitytracker.com
Gyártói referencia: support.apple.com
CVE-2016-4692 - NVD CVE-2016-4692
CVE-2016-4743 - NVD CVE-2016-4743
CVE-2016-7586 - NVD CVE-2016-7586
CVE-2016-7587 - NVD CVE-2016-7587
CVE-2016-7589 - NVD CVE-2016-7589
CVE-2016-7592 - NVD CVE-2016-7592
CVE-2016-7598 - NVD CVE-2016-7598
CVE-2016-7599 - NVD CVE-2016-7599
CVE-2016-7610 - NVD CVE-2016-7610
CVE-2016-7611 - NVD CVE-2016-7611
CVE-2016-7623 - NVD CVE-2016-7623
CVE-2016-7632 - NVD CVE-2016-7632
CVE-2016-7635 - NVD CVE-2016-7635
CVE-2016-7639 - NVD CVE-2016-7639
CVE-2016-7640 - NVD CVE-2016-7640
CVE-2016-7641 - NVD CVE-2016-7641
CVE-2016-7642 - NVD CVE-2016-7642
CVE-2016-7645 - NVD CVE-2016-7645
CVE-2016-7646 - NVD CVE-2016-7646
CVE-2016-7648 - NVD CVE-2016-7648
CVE-2016-7649 - NVD CVE-2016-7649
CVE-2016-7650 - NVD CVE-2016-7650
CVE-2016-7652 - NVD CVE-2016-7652
CVE-2016-7654 - NVD CVE-2016-7654
CVE-2016-7656 - NVD CVE-2016-7656

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-2704 – OpenVPN sebezhetősége
CVE-2025-22457 – Ivanti Connect Secure, Policy Secure and ZTA Gateways Stack-Based Buffer Overflow sebezhetősége
CVE-2025-24228 – Apple sebezhetősége
CVE-2025-24097 – Apple sebezhetősége
CVE-2024-20440 – Cisco Smart Licensing Utility sebezhezősége
CVE-2025-1268 – Canon sebezhetősége
CVE-2025-2783 – Google Chromium Mojo Sandbox Escape sebezhetősége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
Tovább a sérülékenységekhez »