| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.6 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in Apple Safari 4.0.5 ausgemacht. Sie wurde als kritisch eingestuft. Betroffen hiervon ist ein unbekannter Ablauf. Dank Manipulation mit unbekannten Daten kann eine Denial of Service-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird als CVE-2010-1939 geführt. Ausserdem ist ein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
Safari ist ein Webbrowser des Unternehmens Apple für das hauseigene Betriebssystem Mac OS X und seit dem 11. Juni 2007 auch für Microsoft Windows, zunächst als Betaversion und seit der Versionsnummer 3.1 als stabile Version, erhältlich. Safari gehört zum Lieferumfang von Mac OS X ab der Version 10.3 ("Panther") und ersetzte den vorher mitgelieferten Microsoft Internet Explorer für Mac als Standard-Browser. Der Researcher Krystian Kloskowski beschreibt in einem Advisory eine Schwachstelle (Pufferüberlauf) in aktuellen Versionen der Applikation. Ein Angreifer kann durch die vorliegende Schwachstelle beliebigen Code zur Ausführung bringen und somit die Kompromittierung des Systems anstreben. Unter anderem wird der Fehler auch in den Datenbanken von Exploit-DB (12573), SecurityFocus (BID 39990†), OSVDB (64482†), Secunia (SA39670†) und SecurityTracker (ID 1023958†) dokumentiert. Unter reviews.cnet.com werden zusätzliche Informationen bereitgestellt. Schwachstellen ähnlicher Art sind dokumentiert unter VDB-4132. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 118027 (Apple Safari "parent.close()" Code Execution Vulnerability - Zero Day) zur Prüfung der Schwachstelle an.
Auch Safari ist vor neuen Angriffen nicht gefeit. Die vorliegende Schwachstelle ist als kritisch zu betrachten und sollte zeitnah durch ein Softwareupdate adressiert werden.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.apple.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 6.6
VulDB Base Score: 7.3
VulDB Temp Score: 6.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-399 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Autor: Krystian Kloskowski
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
OpenVAS ID: 902025
OpenVAS Name: Apple Saferi multiple vulnerabilities (Mar10)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Saint ID: exploit_info/safari_parent_close_invalid_pointer
Saint Name: Apple Safari parent.close() Invalid Pointer Code Execution
Qualys ID: 🔍
Qualys Name: 🔍
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Exploit Delay Time: 🔍
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS Version: 🔍
ISS Proventia IPS: 🔍
PaloAlto IPS: 🔍
Fortigate IPS: 🔍
Timeline
07.05.2010 🔍07.05.2010 🔍
07.05.2010 🔍
07.05.2010 🔍
08.05.2010 🔍
11.05.2010 🔍
11.05.2010 🔍
13.05.2010 🔍
13.05.2010 🔍
17.05.2010 🔍
19.05.2010 🔍
25.01.2025 🔍
Quellen
Hersteller: apple.comAdvisory: h07.w.interia.pl
Person: Krystian Kloskowski (h07)
Status: Bestätigt
CVE: CVE-2010-1939 (🔍)
GCVE (CVE): GCVE-0-2010-1939
GCVE (VulDB): GCVE-100-4130
OVAL: 🔍
CERT: 🔍
SecurityFocus: 39990 - Apple Safari 'window.parent.close()' Unspecified Remote Code Execution Vulnerability
Secunia: 39670 - Apple Safari Information Disclosure and Code Execution, Highly Critical
OSVDB: 64482 - Apple Safari parent.close() Function Invalid Pointer Arbitrary Code Execution
SecurityTracker: 1023958 - Apple Safari Popup Window Memory Corruption Error Lets Remote Users Execute Arbitrary Code
Vulnerability Center: 25780 - Apple Safari Remote Arbitrary Code Execution Vulnerability via a Crafted HTML Document, High
Vupen: ADV-2010-1097
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 19.05.2010 02:00Aktualisierung: 25.01.2025 22:17
Anpassungen: 19.05.2010 02:00 (89), 24.02.2017 15:19 (12), 08.12.2024 17:53 (17), 25.01.2025 22:17 (2)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.