【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: WebKit资源装载回调信息泄漏漏洞 [打印本页]

作者: zclzhao 时间: 2009-11-19 12:19 标题: WebKit资源装载回调信息泄漏漏洞

影响版本:
WebKit Open Source Project WebKit r38566
WebKit Open Source Project WebKit 0
Apple Safari 4.0.3
Apple Safari 4.0.2
Apple Safari 4.0.1
Apple Safari 3.2.3
Apple Safari 3

2
Apple Safari 3

1
Apple Safari 3.0.3
Apple Safari 3.0.2 Beta
Apple Safari 3.0.1 Beta
Apple Safari 4 Beta
Apple Safari 4 Beta
Apple Safari 4
Apple Safari 3.2
Apple Safari 3.1
Apple Safari 3 Beta
Apple Safari 3
漏洞描述:
Bugraq ID: 36996
CVE ID：CVE-2009-2841

WebKit是一款开放源代码的web浏览器引擎。
当WebKit处理指向外部资源的HTML 5媒体元素时，它不提交资源装载回调以判断资源是否已装载，结果可导致发送某些请求到远程服务器上。如HTML格式的EMAIL消息发送者可以利用这个漏洞用于判断消息是否读取。
<*参考
http://support.apple.com/kb/HT3949
*>
SEBUG安全建议:
用户可参考如下Apple供应商提供的解决方案：
Apple Safari 4.0.3
Apple Safari4.0.4Leopard.dmg
Safari for Mac OS X v10.5.7
http://www.apple.com/safari/download/
Apple Safari4.0.4SnowLeopard.dmg
Safari for Mac OS X v10.6.1 and v10.6.2
http://www.apple.com/safari/download/
Apple Safari4.0.4Tiger.dmg
Safari for Mac OS X v10.4.11
http://www.apple.com/safari/download/

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com/)