VulDB: Apple Safari fino 5.1.7 WebKit buffer overflow
Generale
scipID: 5829
Componente colpito: Apple Safari fino 5.1.7
Data di pubblicazione: 25/07/2012 (Martin Barbella)
Rischio: 
critico
Voce: 90.3% completa
Data di creazione: 03/08/2012
Ultimo aggiornamento: 03/09/2012
Riassunto
In Apple Safari fino 5.1.7 è stato trovato un punto critico di livello critico. Interessato da questa vulnerabilità è una funzione sconosciuta del componente WebKit. Attraverso l’influenza di un input sconosciuto se causa una vulnerabilità di classe buffer overflow. Questo ha effetti su riservatezza, integrità e disponibilità.
La vulnerabilità è stata pubblicata in data 25/07/2012 da Martin Barbella da Google Chrome Security Team con identificazione HT5400 con un knowledge base article (Apple Security Announce). L’advisory è scaricabile da support.apple.com. La pubblicazione è stata eseguita con il produttore. Questa vulnerabilità è identificata come CVE-2012-3638. L’uso è difficile. L’attacco si effettua con la rete. L’utilizzo non richiede alcuna forma di autentificazione. Non sono conosciuti dettagli tecnici ma un privato metodo di utilizzo è disponibile.
L’aggiornamento alla versione 6 elimina questa vulnerabilità. Una possibile soluzione è stata pubblicata immediatamente dopo la pubblicazione della vulnerabilità. La vulnerabilità è documentata anche nel database OSVDB (84172) e Secunia (SA50058).CVSS
Base Score: 7.6 (CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Classe: Buffer overflow
Locale: No
Remoto: Si
Disponibilità: Si
Accesso: Privato
Contromisure
Raccomandazione: Upgrade
Reaction Time: 0 giorni dalla segnalazione
0-Day Time: 0 giorni dalla scoperta
Exposure Time: 0 giorni dalla pubblicazione
Upgrade: Safari 6
Timeline
19/06/2012 | CVE assegnato
25/07/2012 | Pubblicazione advisory
25/07/2012 | Pubblicazione contromisura
27/07/2012 | OSVDB voce creata
03/08/2012 | VulDB voce creata
03/09/2012 | VulDB voce aggiornata
Fonti
Advisory: HT5400
Riceratore: Martin Barbella
Azienda: Google Chrome Security Team
Coordinato: Si
OSVDB: 84172
CVE: CVE-2012-3638 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 50058
- Ultimi contributi
- EMC RSA Authentication API Encryption Key information disclosure
- Cisco Secure Access Control System Web Interface autenticazione debole
- Python ssl.match_hostname() denial of service
- Mozilla Firefox/Thunderbird nsContentUtils::RemoveScriptBlocker buffer overflow
- Mozilla Firefox/Thunderbird nsFrameList::FirstChild buffer overflow
- Statistiche
- Archivio
