|
 |
|
Safari Adresszeilenfälschung und Speicherkorruption
|
|
|
|
|
Secunia Advisory:
|
SA29483
|
|
|
Herausgegeben:
|
2008-03-24
|
|
Last Update:
|
2008-04-21
|
|
|
Gefahrenstufe:
|
Sehr kritisch
|
|
Auswirkung:
|
Spoofing
Systemzugriff
|
|
Von Wo:
|
Aus dem Internet
|
|
Lösungsstatus:
|
Hersteller-Patch
|
|
| Software: | Safari for Windows 3.x
|
| | CVE reference: | CVE-2007-2398 (Secunia mirror)
CVE-2008-1024 (Secunia mirror)
|
|
|
NOTE: Do you know if Apple Safari 3.x has been automatically installed on computers in your network?
Scan with the Secunia NSI and find any unauthorised installations |
|
Beschreibung:
Juan Pablo Lopez Yacubian hat zwei Sicherheitslücken in Safari entdeckt, die böswillige Personen ausnutzen können, um Spoofing-Attacken durchzuführen oder potenziell das System eines Benutzers zu kompromittieren.
1) Ein Fehler beim Herunterladen von z.B. einer .ZIP-Datei mit überlangem Dateinamen kann ausgenutzt werden, um eine Speicherkorruption zu verursachen.
Eine erfolgreiche Ausnutzung könnte die Ausführung von beliebigem Code ermöglichen.
2) Ein Fehler in der Verwaltung von Fenstern kann ausgenutzt werden, um beliebigen Inhalt darzustellen, während in der Adresszeile die URL einer vertrauenswürdigen Web-Site angezeigt wird.
Die Sicherheitslücken wurden in Version 3.1 für Windows bestätigt. Andere Versionen können ebenfalls betroffen sein.
Do you have this product installed on your home computer? Scan using the free Personal Software Inspector. Check if a vulnerable version is installed on computers in your corporate network, using the Network Software Inspector.
Lösung:
Aktualisieren Sie auf Version 3.1.1.
http://www.apple.com/support/downloads/safari311.html
Gemeldet und/oder entdeckt von:
Juan Pablo Lopez Yacubian
Änderungen:
2008-04-17: "Lösung" aktualisiert. CVE-Referenzen hinzugefügt.
2008-04-21: Link zum US-CERT hinzugefügt.
Original Advisory:
Apple:
http://support.apple.com/kb/HT1467
http://archives.neohapsis.com/archives/bugtraq/2008-03/0332.html
http://archives.neohapsis.com/archives/bugtraq/2008-03/0324.html
Andere Referenzen:
US-CERT VU#529441:
http://www.kb.cert.org/vuls/id/529441
|
|
|
|
|
Please note: The information that this Secunia Advisory is based on comes from a third party unless stated otherwise.
Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.
|
|
|
|
Send Feedback to Secunia
|
|
If you have new information regarding this Secunia advisory or a product in our database, please send it to us using either our web form or email us at vuln@secunia.com.
Ideas, suggestions, and other feedback are most welcome.
|
|
|
|
|
|
Secunia PSI
Scan | Patch | Track
Free Download
|
|
|
Secunia Poll
|
|
|
|
|
 |
|
|
Most Popular Advisories
|
|
|
|
|
|
