本件セキュリティ問題について下記のブラウザとOS環境に影響があります↓
Apple Safari 5.0以下
※下記のバーションには影響がありません↓
Apple Safari 5.0.1
Apple Safari 4.1.1
※下記のバーションには影響がありません↓
Apple Safari 5.0.1
Apple Safari 4.1.1
問題の説明↓
Safariブラウザの「AutoFill’s HTMLフォーム」機能のデサイン問題があり、リモート側から重要な個人情報を取られる可能性が高いです。
追加vulnerability情報↓
Class: Design Error
CVE: CVE-2010-1796
Remote: Yes
Local: No
Published: Jul 22 2010 12:00AM
Updated: Jul 28 2010 04:45PM
Checked: Jul 30 2010 10:24AM JST
Credit: Jeremiah Grossman
CVE: CVE-2010-1796
Remote: Yes
Local: No
Published: Jul 22 2010 12:00AM
Updated: Jul 28 2010 04:45PM
Checked: Jul 30 2010 10:24AM JST
Credit: Jeremiah Grossman
再現仕方↓
再現コードはこちらへアクセスが出来ます。
このコードがインターネットで交換されておりますので、セキュリティアップグレードをインストールしてないブラウザにゼロデイ攻撃される可能性があります。
このコードがインターネットで交換されておりますので、セキュリティアップグレードをインストールしてないブラウザにゼロデイ攻撃される可能性があります。
解決方法↓
本件に対するセキュリティアップデートがリリースされておりますので、ダウンロードはこちらへご確認が出来ます。
リファレンス↓
http://www.apple.com/safari/download/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1796
http://www.securityfocus.com/bid/41884/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1796
http://www.securityfocus.com/bid/41884/
---
http://0day.jp
ゼロデイセキュリティリサーチチーム
0 件のコメント:
コメントを投稿