Összefoglaló
Az Apple Safari webböngésző három sebezhetőséget rejt. Ezek XSS alapú támadásokra, illetve SQL injection típusú károkozásokra adhatnak lehetőséget.
Leírás
Az érintett komponensek és azok sebezhetőségei:
- WebKit: WebSQL adatbázisokhoz való hozzáférések esetenkénti nem megfelelő ellenőrzése.
- WebKit Page Loading: CSRF védelem megkerülésére módot adó sérülékenység.
- WebKit PDF: PDF tartalmak nem megfelelő kezelése. PDF-ből JavaScriptek futtathatók a PDF-dokumentumot tartalmazó weboldal kontextusában.
- WebKit Storage: speciálisan szerkesztett weboldalakkal az alkalmazás összeomlása idézhető el, vagy tetszőleges kódok futtathatók le (SQLite kezelési probléma).
Megoldás
A Safari 6.2.7, 7.1.7 vagy 8.0.7 verziójára való frissítés.
Támadás típusa
Cross Site Scripting (XSS/CSS)Information disclosure (Információ/adat szivárgás)
Manipulation of data
SQL Injection
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: support.apple.com
Egyéb referencia: isbk.hu
CVE-2015-3658 - NVD CVE-2015-3658
CVE-2015-3659 - NVD CVE-2015-3659
CVE-2015-3660 - NVD CVE-2015-3660
CVE-2015-3727 - NVD CVE-2015-3727