Apple MobileSafari附件查看跨站脚本执行漏洞

文章由LinuxBoy分享于2019-04-02 09:04:20热评（490）

发布日期：2011-10-14
更新日期：2011-10-14

受影响系统：
Apple iOS < 5
描述：
--------------------------------------------------------------------------------
CVE ID: CVE-2011-3426

MobileSafari是Apple的iOS设备的浏览器。

Apple公司的MobileSafari在处理Content-Disposition标头时存在安全漏洞，在不提示用户的情况下就打开附件内容，导致附件可以完全访问目标域的DOM，执行跨站脚本攻击，泄露敏感信息。攻击者通常使用社会工程学攻击或向受控站点插入内容。

<*来源：Christian Matthies

链接：Apple MobileSafari Attachment Viewing Cross Site Scripting Vulnerability
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Apple
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://support.apple.com/

推荐文章：