漏洞标题
N/A
漏洞描述信息
在苹果Mac OS X上的Safari中,“下载后打开‘安全’文件”选项允许远程用户协助攻击者执行任意命令,通过欺骗用户下载一个包含元数据(资源重命名)的__MACOSX文件夹,该文件夹触发终端,终端自动使用bash解释脚本,例如,使用一个包含安全文件扩展名的ZIP文件进行了演示。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The "Open 'safe' files after downloading" option in Safari on Apple Mac OS X allows remote user-assisted attackers to execute arbitrary commands by tricking a user into downloading a __MACOSX folder that contains metadata (resource fork) that invokes the Terminal, which automatically interprets the script using bash, as demonstrated using a ZIP file that contains a script with a safe file extension.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Apple Safari Shell命令执行漏洞
漏洞描述信息
Apple Safari是苹果操作系统所捆绑的WEB浏览器。 Safari在处理下载文件自动打开的操作时存在问题,远程攻击者可能利用此漏洞在客户端机器上执行任意命令。Safari的默认配置允许下载完安全的文件后自动打开文件。由于这个默认的配置及Safari和OS X确定安全文件中的不一致性,如果浏览了特制的页面的话Safari可能会执行任意shell命令。
CVSS信息
N/A
漏洞类别
配置错误