VulDB: Apple Safari bis 3.1.1 URL Handler Cross Site Scripting
Allgemein
scipID: 3683
Betroffen: Safari bis 3.1.1
Veröffentlicht: 17.04.2008 (Robert Swiecki David Bloom)
Risiko: 
kritisch
Eintrag: 96.2% komplett
Erstellt: 21.04.2008
Aktualisiert: 03.09.2012
Beschreibung
Safari ist ein Webbrowser der Firma Apple für das hauseigene Betriebssystem Mac OS X und seit dem 11. Juni 2007 auch für Microsoft Windows, zunächst als Betaversion und seit der Versionsnummer 3.1 als stabile Version. Safari gehört zum Lieferumfang von Mac OS X ab der Version 10.3 („Panther“) und ersetzte den vorher mitgelieferten Microsoft Internet Explorer für Mac als Standard-Browser. Bis Version 3.1.1 leiden die publizierten Versionen unter einer Schwachstelle, bei der eine Fehlbehandlung von URI’s im Sinne eines beliebigen XSS Angriffes ausgenutzt werden kann. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (44468), Secunia (SA29846), SecurityFocus (BID 28814), SecurityTracker (ID 1019869) und X-Force (41862) dokumentiert.
Für den Vulnerability Scanner Nessus wurde am 18.04.2008 ein Plugin mit der ID 31992 (Mac OS X : Safari < 3.1.1) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family MacOS X Local Security Checks zugeordnet und im Kontext local ausgeführt.
Auch diesen Monat hat Apple wieder einiges zu tun: Neben diversen Schwachstellen in Quicktime gibt es auch einige Schnitzer in Apples Browser, die durch den herausgegebenen Patch 3.1.1 behoben werden. Diese sollte im Sinne der Sicherheitsmaximierung baldmöglichst installiert werden.
CVSS
Base Score: 4.6 (CVSS2#AV:N/AC:H/Au:S/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Cross Site Scripting
Auswirkungen: beliebiger Script-Code injizieren
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Nessus ID: 31992
Nessus Name: Mac OS X : Safari < 3.1.1
Nessus Family: MacOS X Local Security Checks
Nessus Context: local
Gegenmassnahmen
Empfehlung: Upgrade
0-Day Time: 0 Tage seit gefunden
Patch: apple.com
Timeline
26.02.2008 | CVE zugewiesen
17.04.2008 | Advisory veröffentlicht
17.04.2008 | OSVDB Eintrag erstellt
18.04.2008 | Nessus Plugin veröffentlicht
21.04.2008 | VulDB Eintrag erstellt
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: apple.com
Person: Robert Swiecki David Bloom
Firma: Google Security Team
OSVDB: 44468
CVE: CVE-2008-1025 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 29846
SecurityFocus: 28814
SecurityTracker: 1019869
X-Force: 41862
Vupen: ADV-2008-1250
- Letzte Einträge
- Google Chrome Web Audio Handler Pufferüberlauf [CVE-2013-2845]
- Google Chrome Style Resolution Handler Pufferüberlauf [CVE-2013-2844]
- Google Chrome Speech Handler Pufferüberlauf [CVE-2013-2843]
- Google Chrome Widget Handler Pufferüberlauf [CVE-2013-2842]
- Google Chrome Pepper Resource Handler Pufferüberlauf [CVE-2013-2841]
- Statistiken
- Archiv
