c.m.g
07-07-2009, 10:38
02 luglio 2009 di c.m.g
Security Focus (http://www.securityfocus.com/) riporta un bollettino di sicurezza (Bugtraq ID 35555 (http://www.securityfocus.com/bid/35555/info)) in cui si spiega che è stata trovata una vulnerabilità in Apple Safari che esporrebbe, il computer di un utente ignaro, ad attacchi di tipo denial-of-service (DoS) in quanto non processerebbe in maniera adeguata alcuni dati in ingresso-utente.
Un attacker può sfruttare questa falla per far crashare l'applicazione affetta, negando di fatto il servizio al legittimo user.
Data la natura del bug, il malintenzionato potrebbe essere in grado di far eseguire codice arbitrario malevolo, ma questo non è stato confermato.
La vulnerabilità è stata confermata in Safari 4.0 e 4.0.1; non si esclude che anche altre versioni siano affette dalla medesima.
Nello specifico:
WebKit Open Source Project WebKit 0
Apple Safari 4.0.1
Apple Safari 4 for Windows
Apple Safari 4
Soluzione:
Al momento non è stata rilasciata nessuna nuova versione che risolve il problema ma è stato risolto nel nuovo WebKit:
Webkit Changeset 44519 (http://trac.webkit.org/changeset/44519) (Webkit)
Classe falla:
Input Validation Error
Falla scoperta da:
Marcell 'SkyOut' Dietl, Achim Hoffmann
Advisory d'origine:
Apple Safari 4.x JavaScript Reload Denial of Service (http://marcell-dietl.de/index/adv_safari_4_x_js_reload_dos.php) (Marcell 'SkyOut' Dietl, Achim Hoffmann)
Webkit Changeset 44519 (http://trac.webkit.org/changeset/44519) (Webkit)
Fonte: SecurityFocus (http://www.securityfocus.com/bid/35555/info)
Security Focus (http://www.securityfocus.com/) riporta un bollettino di sicurezza (Bugtraq ID 35555 (http://www.securityfocus.com/bid/35555/info)) in cui si spiega che è stata trovata una vulnerabilità in Apple Safari che esporrebbe, il computer di un utente ignaro, ad attacchi di tipo denial-of-service (DoS) in quanto non processerebbe in maniera adeguata alcuni dati in ingresso-utente.
Un attacker può sfruttare questa falla per far crashare l'applicazione affetta, negando di fatto il servizio al legittimo user.
Data la natura del bug, il malintenzionato potrebbe essere in grado di far eseguire codice arbitrario malevolo, ma questo non è stato confermato.
La vulnerabilità è stata confermata in Safari 4.0 e 4.0.1; non si esclude che anche altre versioni siano affette dalla medesima.
Nello specifico:
WebKit Open Source Project WebKit 0
Apple Safari 4.0.1
Apple Safari 4 for Windows
Apple Safari 4
Soluzione:
Al momento non è stata rilasciata nessuna nuova versione che risolve il problema ma è stato risolto nel nuovo WebKit:
Webkit Changeset 44519 (http://trac.webkit.org/changeset/44519) (Webkit)
Classe falla:
Input Validation Error
Falla scoperta da:
Marcell 'SkyOut' Dietl, Achim Hoffmann
Advisory d'origine:
Apple Safari 4.x JavaScript Reload Denial of Service (http://marcell-dietl.de/index/adv_safari_4_x_js_reload_dos.php) (Marcell 'SkyOut' Dietl, Achim Hoffmann)
Webkit Changeset 44519 (http://trac.webkit.org/changeset/44519) (Webkit)
Fonte: SecurityFocus (http://www.securityfocus.com/bid/35555/info)