Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
- Injection de code indirecte
Systèmes affectés
Safari 3.0 et les versions antérieures.
Résumé
Plusieurs vulnérabilités permettant entre autres des attaques de type injection de code indirecte ou exécution de code arbitraire ont été corrigées dans Safari.
Description
La version 3.1 de Safari corrige plusieurs vulnérabilités affectant le navigateur d'Apple. Elles permettent de réaliser des attaques d'injection de code indirecte via un site malicieusement construit contenant du javascript. Elles permettent aussi d'exécuter du code arbitraire via l'utilisation d'une expression régulière javascript spécifiquement réalisée.
Solution
Se référer au bulletin de sécurité de Apple 307563 du 17 mars 2008 pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Apple 307563 du 17 mars 2008 : http://docs.info.apple.com/article.html?artnum=307563
- Référence CVE CVE-2007-4680 https://www.cve.org/CVERecord?id=CVE-2007-4680
- Référence CVE CVE-2008-0050 https://www.cve.org/CVERecord?id=CVE-2008-0050
- Référence CVE CVE-2008-1002 https://www.cve.org/CVERecord?id=CVE-2008-1002
- Référence CVE CVE-2008-1003 https://www.cve.org/CVERecord?id=CVE-2008-1003
- Référence CVE CVE-2008-1004 https://www.cve.org/CVERecord?id=CVE-2008-1004
- Référence CVE CVE-2008-1005 https://www.cve.org/CVERecord?id=CVE-2008-1005
- Référence CVE CVE-2008-1006 https://www.cve.org/CVERecord?id=CVE-2008-1006
- Référence CVE CVE-2008-1007 https://www.cve.org/CVERecord?id=CVE-2008-1007
- Référence CVE CVE-2008-1008 https://www.cve.org/CVERecord?id=CVE-2008-1008
- Référence CVE CVE-2008-1009 https://www.cve.org/CVERecord?id=CVE-2008-1009
- Référence CVE CVE-2008-1010 https://www.cve.org/CVERecord?id=CVE-2008-1010
- Référence CVE CVE-2008-1011 https://www.cve.org/CVERecord?id=CVE-2008-1011
