Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2014-1346

Опубликовано: 26 янв. 2015
Источник: redhat
CVSS2: 2.6
EPSS Низкий

Уязвимость в WebKit, используемом в Apple Safari, позволяющая удаленно подделать источник postMessage и обойти ограничения на отправку сообщений в подключённый фрейм или окно

Описание

Обнаружена уязвимость в WebKit, используемом в Apple Safari. Проблема связана с некорректной интерпретацией Unicode-кодировки, что позволяет удалённым злоумышленникам подделать источник postMessage и обойти предполагаемые ограничения на отправку сообщений в подключённый фрейм или окно. Атака возможна через специально созданные символы в URL.

Заявление

Служба безопасности Red Hat оценила эту проблему как имеющую умеренное влияние на безопасность. В настоящее время не планируется устранение данной уязвимости в будущих обновлениях. Для получения дополнительной информации обратитесь к классификации серьёзности проблем.

Затронутые версии ПО

  • Apple Safari до версии 6.1.4
  • Apple Safari 7.x до версии 7.0.4

Тип уязвимости

  • Подделка источника
  • Обход ограничений

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
Red Hat Enterprise Linux 6webkitgtkWill not fix
Red Hat Enterprise Linux 7webkitgtk3Will not fix

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate
https://bugzilla.redhat.com/show_bug.cgi?id=1186270webkitgtk: improper Unicode encoding interpretation (WSA-2015-0001)

EPSS

Процентиль: 69%
0.00615
Низкий

2.6 Low

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2014-1346

ubuntu
больше 11 лет назад

WebKit, as used in Apple Safari before 6.1.4 and 7.x before 7.0.4, does not properly interpret Unicode encoding, which allows remote attackers to spoof a postMessage origin, and bypass intended restrictions on sending a message to a connected frame or window, via crafted characters in a URL.

nvd логотип

CVE-2014-1346

nvd
больше 11 лет назад

WebKit, as used in Apple Safari before 6.1.4 and 7.x before 7.0.4, does not properly interpret Unicode encoding, which allows remote attackers to spoof a postMessage origin, and bypass intended restrictions on sending a message to a connected frame or window, via crafted characters in a URL.

github логотип

GHSA-jg99-gc3w-rpvv

github
больше 3 лет назад

WebKit, as used in Apple Safari before 6.1.4 and 7.x before 7.0.4, does not properly interpret Unicode encoding, which allows remote attackers to spoof a postMessage origin, and bypass intended restrictions on sending a message to a connected frame or window, via crafted characters in a URL.

EPSS

Процентиль: 69%
0.00615
Низкий

2.6 Low

CVSS2