Mac OS X:Apple Safari < 6.2.8 / 7.1.8 / 8.0.8 多种漏洞
medium Nessus 插件 ID 85446
语言:
简介
安装在远程主机上的 web 浏览器受到多种漏洞的影响。描述
远程 Mac OS X 主机上安装的 Apple Safari 版本低于 6.2.8 / 7.1.8 / 8.0.8。因此,该应用程序受到以下漏洞的影响:- 存在一个不明缺陷,允许攻击者通过使用构建的网页冒充 UI 元素。
(CVE-2015-3729)
- 由于未能正确验证用户提供的输入,WebKit 中存在多种内存损坏缺陷。攻击者可利用这些缺陷,通过使用构建的网页执行任意代码。(CVE-2015-3730、CVE-2015-3731 CVE-2015-3732、CVE-2015-3733、CVE-2015-3734、CVE-2015-3735、CVE-2015-3736、CVE-2015-3737、CVE-2015-3738、CVE-2015-3739、CVE-2015-3740、CVE-2015-3741、CVE-2015-3742、CVE-2015-3743、CVE-2015-3744、CVE-2015-3745、CVE-2015-3746、CVE-2015-3747、CVE-2015-3748、CVE-2015-3749)
- WebKit 中存在与处理内容安全策略报告请求有关的安全策略绕过漏洞。攻击者可利用此漏洞绕过 HTTP 严格传输安全策略。(CVE-2015-3750)
- WebKit 中存在一个安全策略绕过漏洞,该漏洞允许网站使用视频控件加载对象元素中嵌套的图像,这违反了内容安全策略指令。(CVE-2015-3751)
- WebKit 中存在与如何将 Cookie 添加到内容安全策略报告请求有关的信息泄露漏洞,这导致 Cookie 被泄露给跨源请求。此外,隐私浏览期间还会发送常规浏览时设置的 Cookie。(CVE-2015-3752)
- 使用重定向到 data: image 资源的 URL 调用图像时,WebKit Canvas 组件中存在信息泄露漏洞。攻击者可利用此漏洞,通过使用恶意网站泄露图像数据跨源。(CVE-2015-3753)
- WebKit 页面加载中存在信息泄露漏洞,其中在隐私浏览模式下输入的 HTTP 身份验证凭据的缓存延续到常规浏览中,从而导致泄露用户的隐私浏览历史记录。(CVE-2015-3754)
- WebKit 进程模型中的缺陷允许恶意网站显示任意 URL,从而允许冒充用户界面。(CVE-2015-3755)
解决方案
升级到 Apple Safari 6.2.8 / 7.1.8 / 8.0.8 或更高版本。另见
插件详情
严重性: Medium
ID: 85446
文件名: macosx_Safari8_0_8.nasl
版本: 1.4
类型: local
代理: macosx
发布时间: 2015/8/17
最近更新时间: 2018/7/14
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
漏洞信息
CPE: cpe:/a:apple:safari
必需的 KB 项: Host/local_checks_enabled, Host/MacOSX/Version, MacOSX/Safari/Installed
易利用性: No known exploits are available
补丁发布日期: 2015/8/13
漏洞发布日期: 2015/8/13
参考资料信息
CVE: CVE-2015-3729, CVE-2015-3730, CVE-2015-3731, CVE-2015-3732, CVE-2015-3733, CVE-2015-3734, CVE-2015-3735, CVE-2015-3736, CVE-2015-3737, CVE-2015-3738, CVE-2015-3739, CVE-2015-3740, CVE-2015-3741, CVE-2015-3742, CVE-2015-3743, CVE-2015-3744, CVE-2015-3745, CVE-2015-3746, CVE-2015-3747, CVE-2015-3748, CVE-2015-3749, CVE-2015-3750, CVE-2015-3751, CVE-2015-3752, CVE-2015-3753, CVE-2015-3754, CVE-2015-3755