Chrome、Opera 和 Safari 中的 HTML5 实现可以允许信息泄露
发布时间: 2011 年 4 月 19 日 |更新时间:2011 年 5 月 17 日
版本: 2.0
概述
执行摘要
Microsoft 正在提供有关发现和修正影响 Google Chrome 浏览器版本 8.0.552.210 及更早版本的漏洞的通知;Opera 浏览器版本 10.62 及更低版本;和 Safari 浏览器版本 4.1.2 及更低版本、Safari 浏览器版本 5.0.2 及更早版本,以及 iOS 4.1 及更早版本的 Safari 浏览器。 Microsoft 发现并披露了与相应受影响的供应商 Google Inc.、Opera Software ASA 和 Apple Inc.、Opera Software ASA 和 Apple Inc. 的协调漏洞披露下的漏洞,并修正了各自的软件中的漏洞。
这些 Web 浏览器中 HTML5 的实现中存在信息泄露漏洞。 具体而言,正如万维网联合会(W3C)在 HTML5 规范中描述的,如果来自一个源的脚本可以访问来自另一个源的信息,则可能会发生信息泄漏。 有关详细信息,请参阅 HTML5:HTML 和 XHTML 的词汇和相关 API,“画布元素的安全性”。成功利用此漏洞的攻击者可以获取私人信息。 请注意,此漏洞不允许攻击者执行代码或直接提升其用户权限,但攻击者可以使用获取的信息进一步入侵受影响的系统。
Microsoft 漏洞研究向 Google Inc.、Opera Software ASA 和 Apple Inc. 报告了此问题并与之协调,以确保修正此问题。 Google Chrome 中的漏洞已分配到常见漏洞和暴露列表中的条目 CVE-2010-4483。 有关详细信息,包括有关 Google 更新的信息,请参阅 Google Chrome 版本:稳定版,Beta 频道汇报(2010 年 12 月 2 日)。 Opera 中的漏洞已分配到常见漏洞和公开列表中的条目 CVE-2010-4046。 有关详细信息,包括有关 Opera Software ASA 更新的信息,请参阅 公告:可以截获专用视频流。 Safari 中的漏洞已分配到常见漏洞和公开列表中的条目 CVE-2010-3259。 有关详细信息,包括有关 Apple 更新的信息,请参阅 Apple Security 汇报。
缓解因素
- 为了利用此漏洞,攻击者必须拥有包含专用信息的网络资源的 IP 地址。
- 在基于 Web 的攻击方案中,攻击者可以托管包含用于利用此漏洞的网页的网站。 此外,接受或托管用户提供的内容或广告的已泄露网站和网站可能包含可能利用此漏洞的特制内容。 但是,在所有情况下,攻击者都无法强制用户访问这些网站。 相反,攻击者必须说服用户访问该网站,通常是通过让他们单击电子邮件或即时信使消息中的链接,将用户带到攻击者的网站。
咨询详细信息
用途和建议
咨询目的: 通知用户漏洞及其修正。
公告状态: 已发布公告。
建议: 查看 “建议的操作 ”部分,并根据需要进行配置。
问题参考
有关此问题的详细信息,请参阅以下参考:
| 参考 | 标识 |
|---|---|
| 常见漏洞和暴露 | CVE-2010-4483 (Google Chrome) |
| 常见漏洞和暴露 | CVE-2010-4046 (Opera) |
| 常见漏洞和暴露 | CVE-2010-3259 (Safari) |
受影响的和非受影响的软件
此公告讨论以下软件。
| 受影响的软件 |
|---|
| Google Chrome 版本 8.0.552.210 及更早版本 |
| Opera 版本 10.62 及更低版本 |
| Safari 版本 4.1.2 及更低版本 |
| Safari 版本 5.0.2 及更低版本 |
| iOS 版本 4.1 及更低版本的 Safari |
| 受影响的软件 |
| Google Chrome 版本 8.0.552.215 |
| Opera 版本 10.63 |
| Safari 版本 4.1.3 |
| Safari 版本 5.0.3 |
常见问题
此公告的范围是什么?
此公告是与受影响的供应商协调发布的一部分,告知客户可能影响其系统的安全问题。
这是否是要求 Microsoft 发出安全更新的安全漏洞?
否。 已通过受影响第三方供应商的更新修复了此漏洞。 此更新修正了表 “受影响的软件”中列出的软件。
漏洞的范围是什么?
这是信息泄露漏洞。 成功利用此漏洞的攻击者能够获取私人信息。
导致漏洞的原因是什么?
浏览某些网站时,Google Chrome、Opera 和 Safari 可能无法验证特定画布元素的来源。 拥有网络资源的 IP 地址的攻击者可能会利用漏洞获取存储在网络资源上的专用信息。
攻击者可能使用此漏洞执行哪些操作?
成功利用此漏洞的攻击者可以获取有关网络资源的专用信息。 请注意,此漏洞不允许攻击者执行代码或直接提升其用户权限,但攻击者可以使用获取的信息进一步入侵受影响的系统。
攻击者如何利用漏洞?
攻击者可以托管一个专门制作的网站,该网站旨在利用此漏洞,然后说服用户访问该网站。 这可能还包括已泄露的网站和接受或托管用户提供的内容或广告的网站。 这些网站可能包含可能利用这些漏洞的特制内容。 但是,在所有情况下,攻击者都无法强制用户访问这些网站。 相反,攻击者必须说服用户访问该网站,通常是让他们单击电子邮件或即时信使消息中的链接,将用户带到攻击者的网站。 还可以通过使用横幅广告或其他方法向受影响的系统传送 Web 内容来显示特制的 Web 内容。
建议的操作
将供应商提供的更新或升级应用到不受此漏洞影响的版本。
有关详细信息,包括有关 Google Inc.的更新的信息,请参阅 Google Chrome 版本:稳定版,Beta 频道汇报(2010 年 12 月 2 日)。
有关详细信息,包括有关 Opera Software ASA 更新的信息,请参阅 公告:可以截获专用视频流。
有关详细信息,包括有关 Apple 更新的信息,请参阅 Apple Security 汇报。
其他信息
致谢
Microsoft 感谢 以下内容:
- Nirankush Panchbhai 和 Microsoft James Qiu 发现此问题,以及 Google Inc.、Opera Software ASA 和 Apple Inc. 的团队致力于解决问题
免责声明
此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2011 年 4 月 19 日):已发布公告。
- V2.0(2011 年 5 月 17 日):添加了有关 Safari 中漏洞及其修正的信息。
生成于 2014-04-18T13:49:36Z-07:00