漏洞起因
输入验证错误
影响系统
Apple Safari 4.0.2 for Windows
Apple Safari 4.0.2
Apple Safari 4.0.1
Apple Safari 3.2.3 for Windows
Apple Safari 3.2.3
Apple Safari 3.2.2 for Windows
Apple Safari 3.1.2 for Windows
Apple Safari 3.1.2
Apple Safari 3.1.1 for Windows
Apple Safari 3.1.1
Apple Safari 3.0.4 Beta for Windows
Apple Safari 3.0.3
Apple Safari 3.0.3
Apple Safari 3.0.2 Beta for Windows
Apple Safari 3.0.2 Beta
Apple Safari 3.0.1 Beta for Windows
Apple Safari 3.0.1 Beta
Apple Safari 4 for Windows
Apple Safari 4 Beta
Apple Safari 4 Beta
Apple Safari 4
Apple Safari 3.2
Apple Safari 3.1 for Windows
Apple Safari 3.1
Apple Safari 3 Beta for Windows
Apple Safari 3 Beta
Apple Safari 3
不受影响系统
Apple Safari 4.0.3 for Windows
Apple Safari 4.0.3
危害
远程攻击者可以利用漏洞获得敏感信息。
攻击所需条件
攻击者必须构建WEB页面,诱使用户打开。
漏洞信息
WebKit是一款开放源代码的web浏览器引擎。
WebKit处理域中IDN(国际域名)中的特定字符时存在问题,可导致URI欺骗攻击。
攻击者可以利用这个漏洞把伪造的URI显示给目标用户,使用户盲目信任并泄漏敏感信息。
测试方法
厂商解决方案
Apple Safari可参考如下升级程序:
Apple Safari 4.0.2 for Windows
Apple SafariQuickTimeSetup-APPLE-SA-2009-08-11-1.exe
Safari+QuickTime for Windows XP or Vista
http://www.apple.com/safari/download/
Apple SafariSetup-APPLE-SA-2009-08-11-1.exe
Safari for Windows XP or Vista
http://www.apple.com/safari/download/
Apple Safari 4.0.2
Apple Safari4.0.3Leo.dmg
Safari for Mac OS X v10.5.7 and Mac OS X v10.5.8
http://www.apple.com/safari/download/
Apple Safari4.0.3Ti.dmg
Safari for Mac OS X v10.4.11
http://www.apple.com/safari/download/
漏洞提供者
Chris Weber of Casaba Security, LLC
0 条评论。