Apple Safari többszörös sérülékenység


2009. augusztus 12. 22:00

CH azonosító

CH-2409

Felfedezés dátuma

2009.08.12.

Súlyosság

Magas

Érintett rendszerek

Apple
Safari

Érintett verziók

Apple Safari 4.x

Összefoglaló

Az Apple Safari különböző sérülékenységeit jelentették, amiket kihasználva rosszindulatú támadók adatokat módosíthatnak, bizalmas információhoz juthatnak, hamisításos támadásokat indíthatnak, vagy feltörhetik a felhasználói rendszereket.

Leírás

Az Apple Safari különböző sérülékenységeit jelentették, amiket kihasználva rosszindulatú támadók adatokat módosíthatnak, bizalmas információhoz juthatnak, hamisításos támadásokat indíthatnak, vagy feltörhetik a felhasználói rendszereket.

  1. A CoreGraphics font megjelenítés egy hibáját kihasználva, halom túlcsordulást lehet előidézni, ha a felhasználó pl. meglátogat egy speciálisan elkészített weboldalt.

    A hiba sikeres kihasználása tetszőleges kód végrehajtását teszi lehetővé.

  2. ImageIO az EXIF metaadatok feldolgozása közben fellépő határérték hibáját kihasználva, puffer túlcsordulást és potenciálisan tetszőleges kód végrehajtását lehet előidézni egy különlegesen kialakított kép segítségével.
  3. A Top Sites nevű eszköz hibáját kihasználva, el lehet helyezni egy weblapot a Top Sites nézetben, ha a felhasználó meglátogat egy speciálisan elkészített weboldalt.
  4. A WebKit lebegőpontos számok feldolgozása közben jelentkező hibáját kihasználva, puffer túlcsordulást lehet előidézni, amikor a felhasználó meglátogat egy speciálisan elkészített weboldalt.

    A hiba sikeres kihasználása tetszőleges kód végrehajtását teszi lehetővé.

  5. A WebKit “embed” elem “pluginspage” attribútumának kezelése közben jelentkező hibát kihasználva, hivatkozni lehet file-okra URL-ek segítségével. Ezt kihasználva, bizalmas adatokhoz lehet hozzájutni, ha a felhasználó a “Go” gombra kattint ismeretlen plug-in típusoknál.
  6. Az IDN (International Domain Name) támogatás hibáját kihasználva, hamis URL-eket lehet készíteni, amikben olyan nemzetközi karakterek vannak, amelyek az általánosan használtakra hasonlítanak.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)
Other (Egyéb)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

CVE-2009-2196 - NVD CVE-2009-2196
CVE-2009-2195 - NVD CVE-2009-2195
CVE-2009-2188 - NVD CVE-2009-2188
SECUNIA 36269
Gyártói referencia: support.apple.com
CVE-2009-2199 - NVD CVE-2009-2199
CVE-2009-2200 - NVD CVE-2009-2200
CVE-2009-2468 - NVD CVE-2009-2468

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-62214 – Visual Studio Remote Code Execution sérülékenysége
CVE-2025-62199 – Microsoft Office Remote Code Execution sérülékenysége
CVE-2025-59504 – Azure Monitor Agent Remote Code Execution sérülékenysége
CVE-2025-12480 – Gladinet Triofox Improper Access Control sérülékenysége
CVE-2025-62215 – Windows Kernel Elevation of Privilege sérülékenysége
CVE-2025-12058 – Keras sérülékenysége
CVE-2025-64459 – Django SQL injection sérülékenység
CVE-2025-64458 – Django szolgáltatás megtagadás sérülékenység
CVE-2025-20354 – Cisco Unified Contact Center Express sérülékenysége
Tovább a sérülékenységekhez »