VulDB: Apple Safari fino 5.1.7 feed URL Handler cross site scripting
Generale
scipID: 5870
Componente colpito: Apple Safari fino 5.1.7
Data di pubblicazione: 25/07/2012 (Masato Kinugawa)
Rischio: 
problematico
Voce: 89.5% completa
Data di creazione: 08/08/2012
Ultimo aggiornamento: 03/09/2012
Riassunto
In Apple Safari fino 5.1.7 stata rilevata una vulnerabilità di livello problematico. Da questa vulnerabilità è interessato una funzione sconosciuta del componente feed URL Handler. La manipolazione di un input sconosciuto conseguenza di una vulerabilità di classe cross site scripting. Effetti sono da osservare per riservatezza, integrità e disponibilità.
La vulnerabilità è stata pubblicata in data 25/07/2012 da Masato Kinugawa con identificazione HT5400 con un knowledge base article (Apple Security Announce). L’advisory è scaricabile da support.apple.com. La pubblicazione è stata coordinata con la ditta produttrice. CVE-2012-0678 è identificato come punto debole. L’uso è semplice. Con la rete può partire l’attacco. Nessuna autentificazione è richiesta per l’uso. Non sono conosciuti dettagli tecnici ma un privato metodo di utilizzo è disponibile.
L’aggiornamento alla versione 6 elimina questa vulnerabilità. Una possibile soluzione è stata pubblicata immediatamente dopo la pubblicazione della vulnerabilità. La vulnerabilità è documentata anche nel database OSVDB (84213) e Secunia (SA50058).CVSS
Base Score: 7.5 (CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Classe: Cross site scripting
Locale: No
Remoto: Si
Disponibilità: Si
Accesso: Privato
Contromisure
Raccomandazione: Upgrade
Reaction Time: 0 giorni dalla segnalazione
0-Day Time: 0 giorni dalla scoperta
Exposure Time: 0 giorni dalla pubblicazione
Upgrade: Safari 6
Timeline
12/01/2012 | CVE assegnato
25/07/2012 | Pubblicazione advisory
25/07/2012 | Pubblicazione contromisura
27/07/2012 | OSVDB voce creata
08/08/2012 | VulDB voce creata
03/09/2012 | VulDB voce aggiornata
Fonti
Advisory: HT5400
Riceratore: Masato Kinugawa
Coordinato: Si
OSVDB: 84213
CVE: CVE-2012-0678 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 50058
- Ultimi contributi
- EMC RSA Authentication API Encryption Key information disclosure
- Cisco Secure Access Control System Web Interface autenticazione debole
- Python ssl.match_hostname() denial of service
- Mozilla Firefox/Thunderbird nsContentUtils::RemoveScriptBlocker buffer overflow
- Mozilla Firefox/Thunderbird nsFrameList::FirstChild buffer overflow
- Statistiche
- Archivio
