WebKit资源装载回调信息泄漏漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2009-11-18
WebKit资源装载回调信息泄漏漏洞 影响版本:
WebKit Open Source Project WebKit r38566WebKit Open Source Project WebKit 0Apple Safari 4.0.3 Apple Safari 4.0.2 Apple Safari 4.0.1 Apple Safari 3.2.3 Apple Safari 3.1.2 Apple Safari 3.1.1 Apple Safari 3.0.3 Apple Safari 3.0.2 BetaApple Safari 3.0.1 BetaApple Safari 4 BetaApple Safari 4 BetaApple Safari 4Apple Safari 3.2Apple Safari 3.1Apple Safari 3 BetaApple Safari 3
漏洞描述:
Bugraq ID: 36996CVE ID:CVE-2009-2841WebKit是一款开放源代码的web浏览器引擎。当WebKit处理指向外部资源的HTML 5媒体元素时,它不提交资源装载回调以判断资源是否已装载,结果可导致发送某些请求到远程服务器上。如HTML格式的EMAIL消息发送者可以利用这个漏洞用于判断消息是否读取。
<*参考
http://support.apple.com/kb/HT3949
*>SEBUG安全建议:
用户可参考如下Apple供应商提供的解决方案:Apple Safari 4.0.3 Apple Safari4.0.4Leopard.dmgSafari for Mac OS X v10.5.7http://www.apple.com/safari/download/Apple Safari4.0.4SnowLeopard.dmgSafari for Mac OS X v10.6.1 and v10.6.2http://www.apple.com/safari/download/Apple Safari4.0.4Tiger.dmgSafari for Mac OS X v10.4.11http://www.apple.com/safari/download/