Apple Safari document.domain属性的网页跨站脚本攻击漏洞

漏洞信息详情

Apple Safari document.domain属性的网页跨站脚本攻击漏洞

• CNNVD编号：CNNVD-200803-300
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2008-1003
  
• 漏洞类型：
  
  
  跨站脚本
  
• 发布时间：
  
  2008-03-18
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2008-10-11
  
• 厂        商：
  
  apple
• 漏洞来源：
  Robert Swiecki rob…

Safari是苹果家族操作系统默认所捆绑的WEB浏览器。

Safari的3.1版修复了多个安全漏洞，具体如下：

处理设置有document.domain属性的网页的方式存在漏洞，如果站点设置了document.domain属性，或在有相同document.domain的HTTP和HTTPS的网站之间，这可能导致跨站脚本攻击。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://wsidecar.apple.com/cgi-bin/nph-reg3rdpty2.pl/product=18166&cat=59&platform=osx&method=sa/

来源US-CERT : TA08-079A

名称: TA08-079A

链接:http://www.us-cert.gov/cas/techalerts/TA08-079A.html

来源: APPLE

名称: APPLE-SA-2008-03-18

链接:http://lists.apple.com/archives/security-announce/2008/Mar/msg00000.html

来源: XF

名称: safari-documentdomain-security-bypass(41334)

链接:http://xforce.iss.net/xforce/xfdb/41334

来源: SECTRACK

名称: 1019653

链接:http://www.securitytracker.com/id?1019653

来源: BID

名称: 28330

链接:http://www.securityfocus.com/bid/28330

来源: BID

名称: 28290

链接:http://www.securityfocus.com/bid/28290

来源: VUPEN

名称: ADV-2008-0920

链接:http://www.frsirt.com/english/advisories/2008/0920/references

来源: SECUNIA

名称: 29393

链接:http://secunia.com/advisories/29393

来源: docs.info.apple.com

链接:http://docs.info.apple.com/article.html?artnum=307563