Apple Mobile Safari for iOS 4.2.1远程代码执行漏洞

文章由LinuxBoy分享于2019-04-02 10:04:41热评（161）

Apple Mobile Safari for iOS 4.2.1远程代码执行漏洞

发布日期：2011-04-15
更新日期：2011-04-15

受影响系统：
Apple MacOS X Server 10.x
Apple iOS
不受影响系统：
Apple MacOS X Server 10.6.7
Apple iOS 4.3.2
Apple iOS 4.2.7
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 46832
CVE ID: CVE-2011-1417

Safari是苹果计算机的最新作业系统Mac OS X中的浏览器，使用了KDE的KHTML作为浏览器的运算核心。

Apple Mobile Safari for iOS 4.2.1在实现上存在远程代码执行漏洞，远程攻击者可利用这些漏洞在浏览器中执行任意代码或造成拒绝服务攻击。

此漏洞源于对解析office文件的支持中。在处理OfficeArtMetafileHeader时，进程信任了cbSize字段，并在分配前对其执行了算法。结果没有检查溢出，后续分配就过小。稍后复制到此缓冲区时，内存可能会崩溃导致任意代码执行。

<*来源：Charlie Miller

链接：http://www.zerodayinitiative.com/advisories/ZDI-11-109/
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Apple
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://support.apple.com/

推荐文章：

Apple Mobile Safari for iOS 4.2.1远程代码执行漏洞