2012年8月24日 星期五

弱點通告:Apple Safari 存在多個弱點,請使用者儘速更新!


弱點通告:Apple Safari 存在多個弱點,請使用者儘速更新!  

風險等級:高度威脅
摘  要:Apple Safari 存在多個弱點,惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。目前已知會受到影響的版本為Apple Safari 5.x (含)之前版本,中華電信SOC 建議使用者應儘速上網更新,以降低受駭風險。

影響系統:Apple Safari 5.x (含)之前的版本  
解決辦法:透過Apple 更新軟體安裝: Apple Safari 6(含)之後的版本
細節描述:
Apple 近日對Apple Safari 發布多項弱點,該弱點起因於 (1)處理” feed:” URL 產生的錯誤,可以被利用來進行跨站腳本(cross-site scripting) 攻擊。 (2)處理” feed:” URL 產生的存取控制錯誤,透過引誘使用者瀏覽惡意網站,可上傳任意檔案到伺服器。 (3)自動完成功能存在錯誤,即使自動完成功能設定為關閉狀態,仍會自動完成密碼。 (4)當處理HTTP 的Content-Disposition 標頭時,所產生的錯誤,可以被利用來開啟未顯示”打開”對話框的附件和進行跨站腳本攻擊。 (5)綁定含有弱點版本的WebKit ,WebKit 存在的多個錯誤,可被利用來執行任意程式碼。 (6)WebKit 元件處理拖放事件及CSS 屬性值時,所產生的跨域錯誤,可以繞過同源策略及透過引誘使用者瀏覽惡意網站,造成資訊暴露。 (7)彈跳視窗的跨域策略存在錯誤,可以被利用來暴露iFrame 的片段ID。 惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制。中華電信SOC 在此建議使用者應儘速上網下載更新,並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案,以降低受駭風險。  
       
參考資訊:Apple Secunia