VulDB: Apple Safari bis 5.1.7 Information Disclosure [CVE-2012-0679]
Allgemein
scipID: 5871
Betroffen: Apple Safari bis 5.1.7
Veröffentlicht: 25.07.2012 (Aaron Sigel)
Risiko: 
problematisch
Eintrag: 86.8% komplett
Erstellt: 08.08.2012
Aktualisiert: 03.09.2012
Beschreibung
Es wurde eine problematische Schwachstelle in Apple Safari bis 5.1.7, ein Webbrowser, gefunden. Hiervon betroffen ist eine unbekannte Funktion. Mit Manipulation mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Hiermit kann man Dateien herunterladen. Auswirken tut sich dies auf die Vertraulichkeit.
Die Schwachstelle wurde am 25.07.2012 durch Aaron Sigel von vtty.com als HT5400 in Form eines Knowledge Base Articles (Apple Security Announce) publiziert. Das Advisory kann von support.apple.com heruntergeladen werden. Die Herausgabe passierte in Zusammenarbeit mit Apple. Die Identifikation der Schwachstelle wird seit dem 12.01.2012 mit CVE-2012-0679 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar keine technische Details, jedoch ein privater Exploit zur Schwachstelle bekannt.
Ein Aktualisieren auf die Version 6 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Apple hat nachweislich unmittelbar gehandelt. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (84214) und Secunia (SA50058) dokumentiert.CVSS
Base Score: 4.3 (CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Information Disclosure
Auswirkungen: Dateien herunterladen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: Privat
Gegenmassnahmen
Empfehlung: Upgrade
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: Safari 6
Timeline
12.01.2012 | CVE zugewiesen
25.07.2012 | Advisory veröffentlicht
25.07.2012 | Gegenmassnahme veröffentlicht
27.07.2012 | OSVDB Eintrag erstellt
08.08.2012 | VulDB Eintrag erstellt
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: HT5400
Person: Aaron Sigel
Firma: vtty.com
Koordiniert: Ja
OSVDB: 84214
CVE: CVE-2012-0679 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 50058
