Apple Safari Technology Preview WebKit拒绝服务漏洞（CNVD-2018-11311）

admin

0
文章

0
评论

2023-12-02 04:45:58 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危 Apple Safari Technology Preview WebKit拒绝服务漏洞（CNVD-2018-11311）

CVE编号

CVE-2018-11646

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2018-06-02

漏洞描述

Apple Safari Technology Preview是美国苹果（Apple）公司的一款浏览器。WebKit是KDE社区开发的一套开源Web浏览器引擎，目前被Apple Safari及Google Chrome等浏览器使用。 Apple Safari Technology Preview Release 57版本中的WebKit组件的UIProcess/API/glib/WebKitFaviconDatabase.cpp文件存在安全漏洞，该漏洞源于程序未能正确的处理未设置的pageURL。攻击者可利用该漏洞造成应用程序崩溃。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://bugs.webkit.org/show_bug.cgi?id=186164

参考链接
https://bugs.webkit.org/show_bug.cgi?id=186164
https://bugzilla.gnome.org/show_bug.cgi?id=795740
https://security.gentoo.org/glsa/201808-04
https://www.exploit-db.com/exploits/44842/
https://www.exploit-db.com/exploits/44876/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	webkitgtk	webkitgtk+	*		Up to (including) 2.21.3
	运行在以下环境
	系统	debian_10	webkit2gtk	*		Up to (excluding) 2.20.3-1
	运行在以下环境
	系统	debian_11	webkit2gtk	*		Up to (excluding) 2.20.3-1
	运行在以下环境
	系统	debian_12	webkit2gtk	*		Up to (excluding) 2.20.3-1
	运行在以下环境
	系统	debian_sid	webkit2gtk	*		Up to (excluding) 2.20.3-1
	运行在以下环境
	系统	fedora_27	webkitgtk4	*		Up to (excluding) 2.20.3-1.fc27
	运行在以下环境
	系统	fedora_28	webkit2gtk3-devel-debuginfo	*		Up to (excluding) 2.20.3-1.fc28
	运行在以下环境
	系统	opensuse_Leap_15.0	libwebkit2gtk3-lang	*		Up to (excluding) 2.20.3-lp150.2.3.1
	运行在以下环境
	系统	opensuse_Leap_42.3	libwebkit2gtk3-lang	*		Up to (excluding) 2.20.3-11.1
	运行在以下环境
	系统	suse_12	libwebkit2gtk3-lang	*		Up to (excluding) 2.20.3-2.23
	运行在以下环境
	系统	suse_12_SP3	libjavascriptcoregtk-4_0	*		Up to (excluding) 18-2.20.3-2.23.8
	运行在以下环境
	系统	ubuntu_16.04	webkit2gtk	*		Up to (excluding) 2.20.1-0ubuntu0.16.04.1
	运行在以下环境
	系统	ubuntu_16.04.7_lts	webkit2gtk	*		Up to (excluding) 2.20.1-0ubuntu0.16.04.1
	运行在以下环境
	系统	ubuntu_18.04.5_lts	webkit2gtk	*		Up to (excluding) 2.20.1-1
	运行在以下环境
	系统	ubuntu_18.10	webkit2gtk	*		Up to (excluding) 2.20.1-1