水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > iOSのSafariの問題が修正されたらしい

iOSのSafariの問題が修正されたらしい

2011年10月14日(金曜日)

iOSのSafariの問題が修正されたらしい

公開: 2011年10月16日21時5分頃

iOS5が出て、セキュリティ関係の修正もいろいろあったようです。Twitterで「Safariのところに名前が出ている (twitter.com)」と教えていただいたので、確認したら本当に載っていました。

■Safari

Available for: iOS 3.0 through 4.3.5 for iPhone 3GS and iPhone 4, iOS 3.1 through 4.3.5 for iPod touch (3rd generation) and later, iOS 3.2 through 4.3.5 for iPad

Impact: Opening maliciously crafted files on certain websites may lead to a cross-site scripting attack

Description: iOS did not support the 'attachment' value for the HTTP Content-Disposition header. This header is used by many websites to serve files that were uploaded to the site by a third-party, such as attachments in web-based e-mail applications. Any script in files served with this header value would run as if the file had been served inline, with full access to other resources on the origin server. This issue is addressed by loading attachments in an isolated security origin with no access to resources on other sites.

CVE-ID

CVE-2011-3426 : Christian Matthies working with iDefense VCP, Yoshinori Oota from Business Architects Inc working with JP/CERT

以上、About the security content of iOS 5 Software Update より

例によってIPA経由で届け出たものです。読めばだいたい分かると思いますが、詳細はJVNの方で公開されてからということで。

関連する話題: セキュリティ / UA / Apple / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト