Mac OS X：Apple Safari < 10.0 多个漏洞

high Nessus 插件 ID 93721

语言：

简介

安装在远程主机上的网页浏览器受到多个漏洞的影响。

描述

远程 Mac OS X 或 macOS 主机上安装的 Apple Safari 版本低于 10.0。因此，该服务器受到多个漏洞的影响：

- WebKit 中存在多个内存损坏问题，其允许未经身份验证的远程攻击者通过特制网站造成拒绝服务情况。（CVE-2016-4611、CVE-2016-4729、CVE-2016-4730、CVE-2016-4731、CVE-2016-4734、CVE-2016-4735、CVE-2016-4737、CVE-2016-4759、CVE-2016-4762、CVE-2016-4766、CVE-2016-4767、CVE-2016-4768、CVE-2016-4769）

- Reader 功能中存在一个跨站脚本 (XSS) 漏洞，这是因为未正确验证用户提供的输入，便将其返回给用户所致。未经身份验证的远程攻击者可利用此问题，通过诱使用户通过特制的链接，在用户的浏览器会话中执行任意脚本代码。(CVE-2016-4618)

- 由于未正确处理错误原型，WebKit 中存在缺陷。未经身份验证的远程攻击者可利用此问题，通过特制网站执行任意代码。(CVE-2016-4728)

- 由于状态管理不当，WebKit 中存在多个缺陷。未经身份验证的远程攻击者可利用此问题，通过特制网站造成拒绝服务情况或是执行任意代码。（CVE-2016-4733、CVE-2016-4765）

- 由于与选项卡中会话有关的状态管理缺陷，存在地址栏欺骗漏洞。未经身份验证的远程攻击者可利用此问题，通过特制网站伪造地址栏地址。(CVE-2016-4751)

- 由于未正确处理位置变量，WebKit 中存在缺陷。未经认证的远程攻击者可利用此漏洞，通过构建的网站泄露敏感信息。(CVE-2016-4758)

- WebKit 中存在一个缺陷，其允许未经身份验证的远程攻击者利用 HTTP/0.9 支持，对非 HTTP Safari 会话发动 DNS 重新绑定攻击。
(CVE-2016-4760)

- 由于未正确验证来自 HTTPS 服务器的 X.509 证书，WKWebView 组件的 WebKit 中存在一个缺陷。中间人攻击者可利用此缺陷，通过构建的证书泄露敏感信息。(CVE-2016-4763)