S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 19 mars 2008
N° CERTA-2008-AVI-145
Affaire suivie par: CERT-FR
le 19 mars 2008

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Safari

Gestion du document

Référence CERTA-2008-AVI-145
Titre Multiples vulnérabilités dans Safari
Date de la première version 19 mars 2008
Date de la dernière version 19 mars 2008
Source(s) Bulletin de sćurité de Apple 307563 du 17 mars 2008
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • contournement de la politique de sécurité ;
  • injection de code indirecte ;
  • atteinte à la confidentialité des données.

Systèmes affectés

Safari 3.0 et les versions antérieures.

Résumé

Plusieurs vulnérabilités permettant entre autres des attaques de type injection de code indirecte ou exécution de code arbitraire ont été corrigées dans Safari.

Description

La version 3.1 de Safari corrige plusieurs vulnérabilités affectant le navigateur d'Apple. Elles permettent de réaliser des attaques d'injection de code indirecte via un site malicieusement construit contenant du javascript. Elles permettent aussi d'exécuter du code arbitraire via l'utilisation d'une expression régulière javascript spécifiquement réalisée.

Solution

Se référer au bulletin de sécurité de Apple 307563 du 17 mars 2008 pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 19 mars 2008
    version initiale.