S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 14 novembre 2008
N° CERTA-2008-AVI-557
Affaire suivie par: CERT-FR
le 14 novembre 2008

Avis du CERT-FR

Objet: Vulnérabilités de Safari

Gestion du document

Référence CERTA-2008-AVI-557
Titre Vulnérabilités de Safari
Date de la première version 14 novembre 2008
Date de la dernière version 14 novembre 2008
Source(s) Bulletin de sécurité Apple HT3298 du 13 novembre 2008
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • atteinte à la confidentialité des données.

Systèmes affectés

Safari 3.x.

Résumé

Plusieurs vulnérabilités affectent le navigateur Safari. Leur exploitation permet d'accéder à des données sensibles ou d'exécuter du code arbitraire à distance sur le système vulnérable.

Description

Plusieurs vulnérabilités affectent le traitement des images, en particulier au format PNG, TIFF ou JPEG. L'exploitation de chacune d'entre elles permet d'exécuter du code arbitraire à distance.

Une vulnérabilité dans le traitement des feuilles de style est utilisable de manière malveillante pour exécuter du code arbitraire à distance.

Une vulnérabilité dans le traitement des javascripts est utilisable de manière malveillante pour exécuter du code arbitraire à distance.

Une erreur dans Webkit et une erreur dans la gestion des formulaires permettent à un utilisateur malveillant d'accéder à des données sensibles.

Solution

La version 3.2 remédie à ces vulnérabilités.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 14 novembre 2008
    version initiale.