S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 19 mai 2004
N° CERTA-2004-ALE-008-001
Affaire suivie par: CERT-FR
le 19 mai 2004

Bulletin d'alerte du CERT-FR

Objet: Vulnérabilité de Safari

Gestion du document

Référence CERTA-2004-ALE-008-001
Titre Vulnérabilité de Safari
Date de la première version 19 mai 2004
Date de la dernière version 24 mai 2004
Source(s) Avis Secunia #11622
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

La vulnérabilité a été testée sur la version 1.2 de Safari.

Il est possible que d'autres versions soient également être vulnérables.

Description

En incitant un utilisateur à accéder à une page habilement constituée hébergée sur un serveur WEB, il est possible d'exécuter du code arbitraire à distance sur une plate-forme dotée d'un navigateur vulnérable.

Safari est le navigateur livré en standard avec le système Mac OS X d'Apple.

Une vulnérabilité dans la gestion de l'accès aux scripts est présente dans l'application d'aide lorsqu'elle est appellée par le navigateur Safari au moyen de la primitive help:runscript d'un document HTML.

Contournement provisoire

Ne pas utiliser Safari pour la visualisation de site non sûr.

Solution

Appliquer les correctifs de l'éditeur. Se référer au bulletin de sécurité "Security Update 2004-05-24" :

http://docs.info.apple.com/article.html?artnum=61798

Documentation

Gestion détaillée du document

    le 19 mai 2004
    version initiale.
    le 24 mai 2004
    ajout correctif Apple et référence CVE.