Mac OS X:Apple Safari < 6.1 複数の脆弱性

high Nessus プラグイン ID 70563

概要

リモートホストに、いくつかの脆弱性に影響を受ける Web ブラウザがあります。

説明

リモート Mac OS X 10.7 または 10.8 のホストにインストールされている Apple Safari のバージョンは 6.1 より前です。このため、いくつかの脆弱性の影響を受ける可能性があります:

- XML ファイルの処理に関連する境界チェックの問題が存在します。(CVE-2013-1036)

- 複数のメモリ破損の脆弱性が WebKit に存在し、予期せぬプログラムの終了や任意のコードの実行を引き起こす可能性があります。(CVE-2013-1037、CVE-2013-1038、CVE-2013-1039、CVE-2013-1040、CVE-2013-1041、CVE-2013-1042、CVE-2013-1043、CVE-2013-1044、CVE-2013-1045、CVE-2013-1046、CVE-2013-1047、CVE-2013-2842、CVE-2013-5125、CVE-2013-5126、CVE-2013-5127、CVE-2013-5128)

- 情報漏洩につながる可能性がある、URL 処理に関連するエラーが存在します。(CVE-2013-2848)

- WebKit の URL およびドラッグアンドドロップオペレーションの処理に、クロスサイトスクリプティングの問題が存在します。(CVE-2013-5129、 CVE-2013-5131)

- 「Web Inspector」を使用すると、「Private Browsing」保護が無効になり、情報漏洩につながる可能性があります。
(CVE-2013-5130)

- 「Reopen All Windows from Last Session(最後のセッションのすべてのウィンドウを再度開く)」機能に関連する、ローカルの攻撃者が、平文のユーザー ID とパスワードの情報を「LastSession.plist」ファイルから取得することを可能にする可能性があるエラーが存在します。
(CVE-2013-7127)

ソリューション

Apple Safari 6.1 またはそれ以降にアップグレードしてください。

参考資料

http://support.apple.com/kb/HT6000

http://lists.apple.com/archives/security-announce/2013/Oct/msg00003.html

http://www.securelist.com/en/blog/8168/Loophole_in_Safari

プラグインの詳細

深刻度: High

ID: 70563

ファイル名: macosx_Safari6_1.nasl

バージョン: 1.7

タイプ: local

エージェント: macosx

公開日: 2013/10/23

更新日: 2019/11/27

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2013-2842

脆弱性情報

CPE: cpe:/a:apple:safari

必要な KB アイテム: Host/local_checks_enabled, Host/MacOSX/Version, MacOSX/Safari/Installed

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2013/10/22

脆弱性公開日: 2013/10/22

参照情報

CVE: CVE-2013-1036, CVE-2013-1037, CVE-2013-1038, CVE-2013-1039, CVE-2013-1040, CVE-2013-1041, CVE-2013-1042, CVE-2013-1043, CVE-2013-1044, CVE-2013-1045, CVE-2013-1046, CVE-2013-1047, CVE-2013-2842, CVE-2013-2848, CVE-2013-5125, CVE-2013-5126, CVE-2013-5127, CVE-2013-5128, CVE-2013-5129, CVE-2013-5130, CVE-2013-5131, CVE-2013-7127

BID: 60067, 60073, 62537, 62539, 62541, 62551, 62553, 62554, 62556, 62557, 62558, 62559, 62560, 62563, 62565, 62567, 62568, 62569, 62570, 62571, 63289, 64409

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990

APPLE-SA: APPLE-SA-2013-10-22-2