水曜日, 3月 02, 2011

Webkitセキュリティパッチ情報を確認しましょう!


Webkitの説明はこちらとなります。簡単なサマリーは下記の図ですね↓

↑「…上の図から分かることは、Safari の本体とWebKit フレームワークは別々に存在しています。つまり、Safari の本体にあたるような、WebKit を利用するアプリケーションを作れば、自分用のブラウザが作れます。など…」

では、Webkitのセキュリティ問題が結構出ていましたので、まとめてCVE情報を整理しましたので、結構長いです(2011/03/03の追加情報ですが、今日迄のWebkit問題内容も追加しました)
CVE-2009-2797 CVE-2010-1402 CVE-2010-1772 CVE-2010-3259
CVE-2009-2841 CVE-2010-1403 CVE-2010-1773 CVE-2010-3812
CVE-2010-0046 CVE-2010-1404 CVE-2010-1774 CVE-2010-3813
CVE-2010-0047 CVE-2010-1405 CVE-2010-1780 CVE-2010-4040
CVE-2010-0048 CVE-2010-1406 CVE-2010-1781 CVE-2010-4197
CVE-2010-0049 CVE-2010-1407 CVE-2010-1782 CVE-2010-4198
CVE-2010-0050 CVE-2010-1408 CVE-2010-1783 CVE-2010-4204
CVE-2010-0051 CVE-2010-1409 CVE-2010-1784 CVE-2010-4206
CVE-2010-0052 CVE-2010-1410 CVE-2010-1785 CVE-2010-1824
CVE-2010-0053 CVE-2010-1412 CVE-2010-1786 CVE-2011-0111
CVE-2010-0054 CVE-2010-1414 CVE-2010-1787 CVE-2011-0112
CVE-2010-0314 CVE-2010-1415 CVE-2010-1788 CVE-2011-0113
CVE-2010-0647 CVE-2010-1416 CVE-2010-1790 CVE-2011-0114
CVE-2010-0650 CVE-2010-1417 CVE-2010-1791 CVE-2011-0115
CVE-2010-0651 CVE-2010-1418 CVE-2010-1792 CVE-2011-0116
CVE-2010-0656 CVE-2010-1419 CVE-2010-1793 CVE-2011-0117
CVE-2010-1386 CVE-2010-1421 CVE-2010-1807 CVE-2011-0118
CVE-2010-1387 CVE-2010-1422 CVE-2010-1812 CVE-2011-0119
CVE-2010-1389 CVE-2010-1501 CVE-2010-1814 CVE-2011-0120
CVE-2010-1390 CVE-2010-1664 CVE-2010-1815 CVE-2011-0121
CVE-2010-1391 CVE-2010-1665 CVE-2010-2264 CVE-2011-0122
CVE-2010-1392 CVE-2010-1758 CVE-2010-2647 CVE-2011-0123
CVE-2010-1393 CVE-2010-1759 CVE-2010-2648 CVE-2011-0124
CVE-2010-1394 CVE-2010-1760 CVE-2010-3113 CVE-2011-0125
CVE-2010-1395 CVE-2010-1761 CVE-2010-3114 CVE-2011-0126
CVE-2010-1396 CVE-2010-1762 CVE-2010-3115 CVE-2011-0127
CVE-2010-1397 CVE-2010-1764 CVE-2010-3116 CVE-2011-0128
CVE-2010-1398 CVE-2010-1766 CVE-2010-3119 CVE-2011-0129
CVE-2010-1400 CVE-2010-1767 CVE-2010-3248 CVE-2011-0130
CVE-2010-1401 CVE-2010-1770 CVE-2010-3255 CVE-2011-0131
CVE-2011-0133 CVE-2011-0140 CVE-2011-0147 CVE-2011-0154
CVE-2011-0134 CVE-2011-0141 CVE-2011-0148 CVE-2011-0155
CVE-2011-0135 CVE-2011-0142 CVE-2011-0149 CVE-2011-0156
CVE-2011-0136 CVE-2011-0143 CVE-2011-0150 CVE-2011-0164
CVE-2011-0137 CVE-2011-0144 CVE-2011-0151 CVE-2011-0165
CVE-2011-0138 CVE-2011-0145 CVE-2011-0152 CVE-2011-0168
CVE-2011-0139 CVE-2011-0146 CVE-2011-0153 .....

上記の一覧となり、全てパッチが入っているRPMではMandriva Linux経由パッケージしかありません「webkit-1.2.7-0.1mdv2010.2.src.rpm」
後は他のLinuxディストリビューションがバラバラRPM名でwebkitが入っています、例えば下記のRPMサイトの検索結果は917件のRPMにwebkitが入っていますと↓


ツイッターで質問が受けたので、どのソフト/アプリー/OSに影響されていますか?と。
下記は可能性の一覧ですが、ここの中にWebkitのコードが必ず入っていますが、全て上記に書いたCVE内容に影響されているのか別の問題になります。

WebKit Open Source Project WebKit ~1.2.3
WebKit Open Source Project WebKit rXXXX
Ubuntu Ubuntu Linux 9.10 sparc
Ubuntu Ubuntu Linux 9.10 powerpc
Ubuntu Ubuntu Linux 9.10 lpia
Ubuntu Ubuntu Linux 9.10 i386
Ubuntu Ubuntu Linux 9.10 amd64
Ubuntu Ubuntu Linux 10.10 powerpc
Ubuntu Ubuntu Linux 10.10 i386
Ubuntu Ubuntu Linux 10.10 amd64
Ubuntu Ubuntu Linux 10.04 sparc
Ubuntu Ubuntu Linux 10.04 powerpc
Ubuntu Ubuntu Linux 10.04 i386
Ubuntu Ubuntu Linux 10.04 amd64
MandrakeSoft Linux Mandrake 2010.1 x86_64
MandrakeSoft Linux Mandrake 2010.1
SuSE openSUSE 11.3
Apple Safari 4.0.5 for Windows
Apple Safari 4.0.5
Apple Safari 4.0.4 for Windows
Apple Safari 4.0.4
Apple Safari 4.0.3 for Windows
Apple Safari 4.0.3
Apple Safari 4.0.2 for Windows
Apple Safari 4.0.2
Apple Safari 4.0.1
Apple Safari 4 for Windows
Apple Safari 4
Apple iTunes 9.0.2
Apple iTunes 9.0.1 .8
Apple iTunes 9.0.1
Apple iTunes 9.0
Apple iTunes 9.1
Apple iTunes 8.2
Apple iTunes 8.1
Apple iTunes 8.0.2.20
Apple iTunes 8.0
Apple iPod Touch 3.1.3
Apple iPod Touch 3.1.2
Apple iPod Touch 3.1.1
Apple iPod Touch 2.2.1
Apple iPod Touch 2.0.2
Apple iPod Touch 2.0.1
Apple iPod Touch 3.0
Apple iPod Touch 2.2
Apple iPod Touch 2.1
Apple iPod Touch 2.0
Apple iPhone 4.0.1
Apple iPhone 3.2.1
Apple iPhone 3.1.3
Apple iPhone 3.1.2
Apple iPhone 3.0.1
Apple iPhone 2.2.1
Apple iPhone 2.0.2
Apple iPhone 2.0.1
Apple iPhone 4.0
Apple iPhone 3.2
Apple iPhone 3.1
Apple iPhone 3.0
Apple iPhone 2.2
Apple iPhone 2.1
Apple iPhone 2.0
Apple iPad 3.2.1
Apple iPad 3.2.2
Apple iPad 3.2
Apple iPad 0
Apple iPad 0
Apple iOS 4.0.2
Apple iOS 4.0.1
Apple iOS 3.2.2
Apple iOS 3.2.1
Apple iOS 4.2 beta
Apple iOS 4.1
Apple iOS 4
Apple iOS 3.2
Apple iOS 2.0

結構あるwebkitを使っているアプリーが上記のCVE問題情報に当たると常識に確認しましたが、もしあなたは近い内にwebkitの開発をやっていると開発の前にバーションとcve情報を、お願い、ご確認して下さい。

---
ゼロデイ・ジャパン
http://0day.jp

0 件のコメント:

コメントを投稿