Security Advisory
Microsoft 漏洞调查通报 MSVR11-002
Chrome、Opera 和 Safari 中的 HTML5 实施可能允许信息泄露
发布时间: 2011年4月19日 | 更新时间: 2011年5月17日
版本: 2.0
概述
摘要
Microsoft 提供了通知,阐述发现并修复了会影响下列各项的漏洞:Google Chrome 浏览器版本 8.0.552.210 和更早版本;Opera 浏览器版本 10.62 和更早版本;Safari 浏览器版本 4.1.2 和更早版本、Safari 浏览器版本 5.0.2 和更早版本、iOS 4.1 和更早版本上的 Safari 浏览器。 Microsoft 通过协调漏洞披露渠道发现了该漏洞,并向受影响的供应商 Google Inc.、Opera Software ASA 和 Apple Inc. 分别披露了该漏洞。Google Inc.、Opera Software ASA 和 Apple Inc. 已经修复了各自软件中的这一漏洞。
这些 Web 浏览器的 HTML5 实施中存在一个信息泄露漏洞。 具体而言,如同万维网联合会 (W3C) 针对 canvas 元素安全性在 HTML5 规范中所述的那样,如果来自一个来源的脚本可以访问另一来源中的信息,则可能会发生信息泄露。 有关详细信息,请参阅 HTML5: HTML 和 XHTM 的词汇表和关联的 API、“canvas 元素安全性”。 成功利用此漏洞的攻击者可以获取私有信息。 请注意,此漏洞不允许攻击者执行代码或直接提升其用户权限,但是攻击者可以使用获得的信息尝试进一步危及受影响的系统的安全。
Microsoft 漏洞调查小组向 Google Inc.、Opera Software ASA 和 Apple Inc. 报告了此问题,并与其展开协作,以确保修复此问题。 在“常见漏洞和披露”列表中为 Google Chrome 中的漏洞分配了条目 CVE-2010-4483。 有关详细信息(包括有关来自 Google 的更新的信息),请参阅 Google Chrome 发布: 稳定的、Beta 渠道更新(2010 年 12 月 2 日)。 在“常见漏洞和披露”列表中为 Opera 中的漏洞分配了条目 CVE-2010-4046。 有关详细信息(包括有关 Opera Software ASA 提供的更新的信息),请参阅通报: 私有视频流可以被拦截。 在“常见漏洞和披露”列表中为 Safari 中的漏洞分配了条目 CVE-2010-3259。 有关详细信息(包括有关来自 Apple 的更新的信息),请参阅 Apple 安全更新。
缓解因素
- 要利用此漏洞,攻击者必须拥有包含私有信息的网络资源的 IP 地址。
- 在基于 Web 的攻击情形中,攻击者可能拥有一个网站,并在上面放置用来利用此漏洞的网页。 另外,接受或宿主用户提供的内容或广告的网站以及受到破坏的网站可能包含可能利用此漏洞的特制内容。 但是在所有情况下,攻击者无法强制用户访问这些网站。 相反,攻击者必须诱使用户访问该网站,方法通常是让用户单击电子邮件或 Instant Messenger 消息中的链接以使用户链接到攻击者的网站。
通报详细信息
目的和建议
通报目的: 通知用户存在漏洞及其补救措施。
通报状态: 已发布通报。
建议: 查看建议措施部分并根据需要进行配置。
问题参考
有关此问题的详细信息,请参阅以下参考:
| 参考 | 标识 |
|---|---|
| 常见漏洞和披露 | CVE-2010-4483 (Google Chrome) |
| 常见漏洞和披露 | CVE-2010-4046 (Opera) |
| 常见漏洞和披露 | CVE-2010-3259 (Safari) |
受影响和不受影响的软件
此通报讨论以下软件。
| 受影响的软件 |
| Google Chrome 8.0.552.210 及更早版本 |
| Opera 10.62 及更早版本 |
| Safari 版本 4.1.2 及更早版本 |
| Safari 版本 5.0.2 及更早版本 |
| iOS 版本 4.1 和更早版本上的 Safari |
| 不受影响的软件 |
| Google Chrome 版本 8.0.552.215 |
| Opera 版本 10.63 |
| Safari 版本 4.1.3 |
| Safari 版本 5.0.3 |
常见问题
此通报的适用范围有多大?
此通报是与受影响的供应商协同发布的内容的一部分,告知用户存在一个安全问题,可能影响其系统。
这是否是一个需要 Microsoft 发布安全更新的安全漏洞?
否。 此漏洞已通过受影响的第三方供应商提供的更新进行了修复。 该更新修复了受影响的软件表中列出的软件。
此漏洞的影响范围有多大?
这是一个信息泄露漏洞。 成功利用此漏洞的攻击者能够获取私有信息。
造成漏洞的原因是什么?
当浏览某些网站时Google Chrome、Opera 和 Safari 可能不会验证特定 canvas 元素的来源。 拥有网络资源的 IP 地址的攻击者可能会利用该漏洞获取网络资源上存储的私有信息。
攻击者可能利用此漏洞执行什么操作?
成功利用此漏洞的攻击者可能会获取网络资源上的私有信息。 请注意,此漏洞不允许攻击者执行代码或直接提升其用户权限,但是攻击者可以使用获得的信息尝试进一步危及受影响的系统的安全。
攻击者如何利用此漏洞?
攻击者可能拥有一个旨在利用此漏洞的特制网站,然后诱使用户访问该网站。 这还包括受到破坏的网站以及接受或宿主用户提供的内容或广告的网站。 这些网站可能包含可以利用这些漏洞的特制内容。 但是在所有情况下,攻击者无法强制用户访问这些网站。 相反,攻击者必须说服用户访问该网站,方法通常是让用户单击电子邮件或 Instant Messenger 消息中的链接以使用户链接到攻击者的网站。 它还可能使用横幅广告或其他方式显示特制的 Web 内容,以便将 Web 内容传递至受影响的系统。
建议措施
应用供应商提供的更新或者升级到不受此漏洞影响的版本。
有关详细信息(包括有关来自 Google Inc. 的更新的信息),请参阅 Google Chrome 发布: 稳定的、Beta 渠道更新(2010 年 12 月 2 日)。
有关详细信息(包括有关 Opera Software ASA 提供的更新的信息),请参阅通报: 私有视频流可以被拦截。
有关详细信息(包括有关来自 Apple 的更新的信息),请参阅 Apple 安全更新。
其他信息
鸣谢
Microsoft 感谢下列人员或组织:
- Microsoft 的 Nirankush Panchbhai 和 James Qiu 发现了此问题,而 Google Inc.、Opera Software ASA 和 Apple Inc. 的团队致力于提供解决办法
免责声明
本通报中提供的信息“按原样”提供,没有任何形式的担保。 Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。 Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。 有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。
修订版本
- V1.0(2011 年 4 月 19 日): 已发布通报。
- V2.0(2011 年 5 月 17 日): 添加了有关 Safari 中的漏洞以及补救措施的信息。
Built at 2014-04-18T13:49:36Z-07:00