|
[English]
|
JVNDB-2007-000727
|
Safari において HTTP 通信のページから HTTPS 通信のページにアクセス可能な脆弱性
|
|
Apple が提供する Safari には、 HTTP 通信のページから HTTPS 通信のページにアクセス可能な脆弱性が存在します。
Apple が提供する Safari は、Mac OS X に標準で搭載されているウェブブラウザです。また、Apple が提供する iPhone にもウェブブラウザとして Safari が搭載されています。
Safari には、HTTPS 通信により SSL/TLS で保護されているページの内容が、同じドメインの HTTP 通信のページからアクセス可能な脆弱性が存在します。
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。報告者: 株式会社ラック 山崎 圭吾 氏
|
|
|
CVSS v2 による深刻度
基本値: 4.0 (警告) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 高
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
|
|
|
アップル
- Safari 3.0.3 およびそれ以前 (Mac OS X, Windows XP / Vista)
- Apple Mac OS X v10.4 から v10.4.10 まで
- iPhone v1.1.1 より前のバージョン
|
|
|
HTTPS 通信で保護されているページの内容が、同じドメインの HTTP 通信のページから取得、変更される可能性があります。
|
|
ベンダが提供する情報を元に最新版へアップデートしてください。
詳しくはベンダが提供する情報をご確認ください。
|
|
アップル
|
|
- 不適切な入力確認(CWE-20) [NVD評価]
|
|
- CVE-2007-4671
|
|
- JVN : JVN#79013771
- National Vulnerability Database (NVD) : CVE-2007-4671
- IPA セキュリティセンター : JVN_79013771
- Secunia Advisory : SA26983
- SecurityFocus : 25852
- ISS X-Force Database : 36862
- SecurityTracker : 1018752
- FrSIRT Advisories : FrSIRT/ADV-2007-3287
|
|
- [2007年10月10日]
掲載
[2007年11月26日]
概要、影響を受けるシステム、詳細情報、ベンダ情報を更新し、参考情報を追加しました。
|
