本Blog主要以紀錄小編工作上所遇到的點點滴滴,所收錄之文章來至各大媒體及Blog,幾乎皆非原創文章,僅提供小編本人進行記錄方便資料查找,並會註明出觸及連結,如有任何疑義請來信告知,謝謝!
2012年8月24日 星期五
弱點通告:Apple Safari 存在多個弱點,請使用者儘速更新!
弱點通告:Apple Safari 存在多個弱點,請使用者儘速更新!
風險等級:高度威脅
摘 要:Apple Safari 存在多個弱點,惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。目前已知會受到影響的版本為Apple Safari 5.x (含)之前版本,中華電信SOC 建議使用者應儘速上網更新,以降低受駭風險。
影響系統:Apple Safari 5.x (含)之前的版本
解決辦法:透過Apple 更新軟體安裝: Apple Safari 6(含)之後的版本
細節描述:
Apple 近日對Apple Safari 發布多項弱點,該弱點起因於 (1)處理” feed:” URL 產生的錯誤,可以被利用來進行跨站腳本(cross-site scripting) 攻擊。 (2)處理” feed:” URL 產生的存取控制錯誤,透過引誘使用者瀏覽惡意網站,可上傳任意檔案到伺服器。 (3)自動完成功能存在錯誤,即使自動完成功能設定為關閉狀態,仍會自動完成密碼。 (4)當處理HTTP 的Content-Disposition 標頭時,所產生的錯誤,可以被利用來開啟未顯示”打開”對話框的附件和進行跨站腳本攻擊。 (5)綁定含有弱點版本的WebKit ,WebKit 存在的多個錯誤,可被利用來執行任意程式碼。 (6)WebKit 元件處理拖放事件及CSS 屬性值時,所產生的跨域錯誤,可以繞過同源策略及透過引誘使用者瀏覽惡意網站,造成資訊暴露。 (7)彈跳視窗的跨域策略存在錯誤,可以被利用來暴露iFrame 的片段ID。 惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制。中華電信SOC 在此建議使用者應儘速上網下載更新,並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案,以降低受駭風險。
參考資訊:Apple Secunia
訂閱:
張貼留言 (Atom)
沒有留言:
張貼留言