Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

La vulnérabilité a été testée sur la version 1.2 de Safari.

Il est possible que d'autres versions soient également être vulnérables.

Description

En incitant un utilisateur à accéder à une page habilement constituée hébergée sur un serveur WEB, il est possible d'exécuter du code arbitraire à distance sur une plate-forme dotée d'un navigateur vulnérable.

Safari est le navigateur livré en standard avec le système Mac OS X d'Apple.

Une vulnérabilité dans la gestion de l'accès aux scripts est présente dans l'application d'aide lorsqu'elle est appellée par le navigateur Safari au moyen de la primitive help:runscript d'un document HTML.

Contournement provisoire

Ne pas utiliser Safari pour la visualisation de site non sûr.

Solution

Appliquer les correctifs de l'éditeur. Se référer au bulletin de sécurité "Security Update 2004-05-24" :

http://docs.info.apple.com/article.html?artnum=61798

Documentation