CERTA-2004-ALE-008
Vulnerability from certfr_alerte - Published: - Updated:None
Description
En incitant un utilisateur à accéder à une page habilement constituée hébergée sur un serveur WEB, il est possible d'exécuter du code arbitraire à distance sur une plate-forme dotée d'un navigateur vulnérable.
Safari est le navigateur livré en standard avec le système Mac OS X d'Apple.
Une vulnérabilité dans la gestion de l'accès aux scripts est présente dans l'application d'aide lorsqu'elle est appellée par le navigateur Safari au moyen de la primitive help:runscript d'un document HTML.
Contournement provisoire
Ne pas utiliser Safari pour la visualisation de site non sûr.
Solution
Appliquer les correctifs de l'éditeur. Se référer au bulletin de sécurité "Security Update 2004-05-24" :
http://docs.info.apple.com/article.html?artnum=61798
La vulnérabilité a été testée sur la version 1.2 de Safari.
Il est possible que d'autres versions soient également être vulnérables.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cp\u003eLa vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 test\u00e9e sur la version 1.2 de Safari. \u003cP\u003eIl est possible que d\u0027autres versions soient \u00e9galement \u00eatre vuln\u00e9rables.\u003c/P\u003e\u003c/p\u003e",
"closed_at": "2004-05-24",
"content": "## Description\n\nEn incitant un utilisateur \u00e0 acc\u00e9der \u00e0 une page habilement constitu\u00e9e\nh\u00e9berg\u00e9e sur un serveur WEB, il est possible d\u0027ex\u00e9cuter du code\narbitraire \u00e0 distance sur une plate-forme dot\u00e9e d\u0027un navigateur\nvuln\u00e9rable.\n\nSafari est le navigateur livr\u00e9 en standard avec le syst\u00e8me Mac OS X\nd\u0027Apple.\n\nUne vuln\u00e9rabilit\u00e9 dans la gestion de l\u0027acc\u00e8s aux scripts est pr\u00e9sente\ndans l\u0027application d\u0027aide lorsqu\u0027elle est appell\u00e9e par le navigateur\nSafari au moyen de la primitive help:runscript d\u0027un document HTML.\n\n## Contournement provisoire\n\nNe pas utiliser Safari pour la visualisation de site non s\u00fbr.\n\n## Solution\n\nAppliquer les correctifs de l\u0027\u00e9diteur. Se r\u00e9f\u00e9rer au bulletin de\ns\u00e9curit\u00e9 \"Security Update 2004-05-24\" :\n\n http://docs.info.apple.com/article.html?artnum=61798\n",
"cves": [],
"links": [],
"reference": "CERTA-2004-ALE-008",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2004-05-19T00:00:00.000000"
},
{
"description": "ajout correctif Apple et r\u00e9f\u00e9rence CVE.",
"revision_date": "2004-05-24T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
}
],
"summary": null,
"title": "Vuln\u00e9rabilit\u00e9 de Safari",
"vendor_advisories": [
{
"published_at": null,
"title": "Avis Secunia #11622",
"url": "http://secunia.com/advisories/11622"
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.