WebKit跨站脚本执行过滤器'XSSAuditor.cpp'安全绕过漏洞


发布日期:2012-07-19
更新日期:2012-11-19

受影响系统:
Apple Safari
Google Chrome
WebKit Open Source Project WebKit
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 56570
CVE ID: CVE-2012-5851

WebKit是一个开源的浏览器引擎,也是苹果Mac OS X 系统引擎框架版本的名称,主要用于Safari,Dashboard,Mail和其他一些Mac OS X 程序。

Google Chrome 22和Safari 5.1.7使用的WebKit WebCore内html/parser/XSSAuditor.cpp没有考虑反射数据的所有输出上下文,存在安全绕过漏洞,通过特制的字符串,攻击者可利用此漏洞绕过XSS保护机制。

<*来源:Tushar Dalvi
 
  链接:https://bugs.webkit.org/show_bug.cgi?id=92692
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

WebKit Open Source Project
--------------------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://webkit.org/

相关内容