Apple Safari window.parent.close()远程代码执行漏洞

CNNVD-ID编号	CNNVD-201005-215
CVE编号	CVE-2010-1939
发布时间	2010-05-13
更新时间	2010-05-14
漏洞类型	资源管理错误
漏洞来源	Krystian Kloskowski h07@interia.pl
危险等级	高危
威胁类型	远程
厂商	apple

漏洞介绍

Apple Apple Safari是美国苹果（Apple）公司开发的一款Web浏览器，是Mac OS X和iOS操作系统附带的默认浏览器。

Windows下运行的Apple Safari存在释放后使用漏洞，远程攻击者可以利用window.open创建特制HTML文档弹出窗口，然后调用父窗口的关闭方法，触发已删除窗口对象的不当处理，并执行任意代码。

目前厂商还没有提供此漏洞的相关补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本： http://www.apple.com/

来源: US-CERT

名称: VU#943165

链接：http://www.kb.cert.org/vuls/id/943165
来源: VUPEN

名称: ADV-2010-1097

链接：http://www.vupen.com/english/advisories/2010/1097
来源: BID

名称: 39990

链接：http://www.securityfocus.com/bid/39990
来源: OSVDB

名称: 64482

链接：http://www.osvdb.org/64482
来源: SECTRACK

名称: 1023958

链接：http://securitytracker.com/id?1023958
来源: SECUNIA

名称: 39670

链接：http://secunia.com/advisories/39670
来源: MISC

链接：http://reviews.cnet.com/8301-13727_7-20004709-263.html
来源: MISC

链接：http://h07.w.interia.pl/Safari.rar