Board logo

标题: WebKit资源装载回调信息泄漏漏洞 [打印本页]

作者: zclzhao    时间: 2009-11-19 12:19     标题: WebKit资源装载回调信息泄漏漏洞

影响版本:
WebKit Open Source Project WebKit r38566
WebKit Open Source Project WebKit 0
Apple Safari 4.0.3
Apple Safari 4.0.2
Apple Safari 4.0.1
Apple Safari 3.2.3
Apple Safari 32
Apple Safari 31
Apple Safari 3.0.3
Apple Safari 3.0.2 Beta
Apple Safari 3.0.1 Beta
Apple Safari 4 Beta
Apple Safari 4 Beta
Apple Safari 4
Apple Safari 3.2
Apple Safari 3.1
Apple Safari 3 Beta
Apple Safari 3
漏洞描述:
Bugraq ID: 36996
CVE ID:CVE-2009-2841

WebKit是一款开放源代码的web浏览器引擎。
当WebKit处理指向外部资源的HTML 5媒体元素时,它不提交资源装载回调以判断资源是否已装载,结果可导致发送某些请求到远程服务器上。如HTML格式的EMAIL消息发送者可以利用这个漏洞用于判断消息是否读取。
<*参考
http://support.apple.com/kb/HT3949
*>
SEBUG安全建议:
用户可参考如下Apple供应商提供的解决方案:
Apple Safari 4.0.3
Apple Safari4.0.4Leopard.dmg
Safari for Mac OS X v10.5.7
http://www.apple.com/safari/download/
Apple Safari4.0.4SnowLeopard.dmg
Safari for Mac OS X v10.6.1 and v10.6.2
http://www.apple.com/safari/download/
Apple Safari4.0.4Tiger.dmg
Safari for Mac OS X v10.4.11
http://www.apple.com/safari/download/




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2