Mac OS X：Apple Safari < 6.2.7 / 7.1.7 / 8.0.7 多种漏洞

medium Nessus 插件 ID 84491

语言：

简介

安装在远程主机上的 web 浏览器受到多种漏洞的影响。

描述

远程 Mac OS X 主机上安装的 Apple Safari 版本低于 6.2.7 / 7.1.7 / 8.0.7。因此，它受到以下漏洞的影响：

- 由于保留了跨源重定向的 Origin 请求标头，WebKit Page Loading 中存在一个缺陷。远程攻击者可利用此缺陷，通过特别构建的网页，避开跨站请求伪造 (XSRF) 保护。(CVE-2015-3658)

- WebKit Storage 的 SQLite 授权程序中存在一个因不充分的比较而造成的缺陷。远程攻击者可利用此缺陷，通过特别构建的网页来调用任意 SQL 函数，从而导致拒绝服务情况或执行任意代码。
(CVE-2015-3659)

- WebKit PDF 中存在一个因错误限制而造成的信息泄露漏洞，该漏洞与 PDF 文件中嵌入的链接的 JavaScript 执行有关。远程攻击者可利用此漏洞，通过特别构建的 PDF 文件，泄露文件系统中的敏感信息，包括 Cookie。(CVE-2015-3660)

- WebKit 中存在一个因对 WebSQL 表重命名的错误限制而造成的信息泄露漏洞。
远程攻击者可利用此漏洞，通过特别构建的网站，访问属于其他网站的 WebSQL 数据库。(CVE-2015-3727)

解决方案

升级到 Apple Safari 6.2.7 / 7.1.7 / 8.0.7 或更高版本。

另见

https://support.apple.com/en-us/HT204950

插件详情

严重性: Medium

ID: 84491

文件名: macosx_Safari8_0_7.nasl

版本: 1.5

类型: local

代理: macosx

系列: MacOS X Local Security Checks

发布时间: 2015/7/1

最近更新时间: 2019/11/22

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2015-3727

漏洞信息

CPE: cpe:/a:apple:safari

必需的 KB 项: Host/local_checks_enabled, Host/MacOSX/Version, MacOSX/Safari/Installed

易利用性: No known exploits are available

补丁发布日期: 2015/6/30

漏洞发布日期: 2015/6/30

参考资料信息

CVE: CVE-2015-3658, CVE-2015-3659, CVE-2015-3660, CVE-2015-3727