S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

 République Française Paris, le 24 mai 2004
No CERTA-2004-ALE-008-001

Affaire suivie par :

CERTA

BULLETIN D'ALERTE DU CERTA

Objet : Vulnérabilité de Safari

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2004-ALE-008

Gestion du document


Tableau 1: Gestion du document
Référence CERTA-2004-ALE-008-001
Titre Vulnérabilité de Safari
Date de la première version 19 mai 2004
Date de la dernière version 24 mai 2004
Source(s) Avis Secunia #11622
Pièce(s) jointe(s) Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Exécution de code arbitraire à distance.

2 Systèmes affectés

La vulnérabilité a été testée sur la version 1.2 de Safari.

Il est possible que d'autres versions soient également être vulnérables.

3 Description

En incitant un utilisateur à accéder à une page habilement constituée hébergée sur un serveur WEB, il est possible d'exécuter du code arbitraire à distance sur une plate-forme dotée d'un navigateur vulnérable.

Safari est le navigateur livré en standard avec le système Mac OS X d'Apple.

Une vulnérabilité dans la gestion de l'accès aux scripts est présente dans l'application d'aide lorsqu'elle est appellée par le navigateur Safari au moyen de la primitive help:runscript d'un document HTML.

4 Contournement provisoire

Ne pas utiliser Safari pour la visualisation de site non sûr.

5 Solution

Appliquer les correctifs de l'éditeur. Se référer au bulletin de sécurité "Security Update 2004-05-24" :

http://docs.info.apple.com/article.html?artnum=61798

6 Documentation

Gestion détaillée du document

19 mai 2004
version initiale.
24 mai 2004
ajout correctif Apple et référence CVE.


CERTA
2012-01-04