S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 19 mai 2004
N° CERTA-2004-ALE-008
Affaire suivie par: CERT-FR

Bulletin d'alerte du CERT-FR

Objet: Vulnérabilité de Safari

Gestion du document

Référence CERTA-2004-ALE-008
Titre Vulnérabilité de Safari
Date de la première version19 mai 2004
Date de la dernière version24 mai 2004
Source(s) Avis Secunia #11622
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

La vulnérabilité a été testée sur la version 1.2 de Safari.

Il est possible que d'autres versions soient également être vulnérables.

Description

En incitant un utilisateur à accéder à une page habilement constituée hébergée sur un serveur WEB, il est possible d'exécuter du code arbitraire à distance sur une plate-forme dotée d'un navigateur vulnérable.

Safari est le navigateur livré en standard avec le système Mac OS X d'Apple.

Une vulnérabilité dans la gestion de l'accès aux scripts est présente dans l'application d'aide lorsqu'elle est appellée par le navigateur Safari au moyen de la primitive help:runscript d'un document HTML.

Contournement provisoire

Ne pas utiliser Safari pour la visualisation de site non sûr.

Solution

Appliquer les correctifs de l'éditeur. Se référer au bulletin de sécurité "Security Update 2004-05-24" :

http://docs.info.apple.com/article.html?artnum=61798

Documentation

Gestion détaillée du document

    le 19 mai 2004
    version initiale.
    le 24 mai 2004
    ajout correctif Apple et référence CVE.