Zəiflik və təhlükəsizlik problemləri həssas informasiyanın üzə çıxarmasına gətirə bilər və ya istifadəçinin sistemini təhlükə altında qoymaq üçün pisniyyətli şəxslər tərəfindən istismar edilə bilən Apple Safari-də aşkar edilmişdirlər.

1. İşlənmə pop-up pəncərəsindən istifadəçi xüsusilə emal edilən veb-səhifəyə səfər edəndə zaman səhvdən sonra istifadə əsassız kodu yerinə yetirmək üçün istismar edilə bilər.
2. HTTP əsaslı autenfikasiyasını tələb edən əgər veb-səhifə müxtəlif domenə (məsələn "Location" başlığı vasitəsilə) təzə adresə göndərirsə Safari HTTP sorğusunda HTTP əsaslı autenfikasiyası məlumatı özündə saxlayır.

Zəiflik və təhlükəsizlik problemləri Windows üçün versiya 4.0.5-də təsdiq edilir. Başqa versiyalara həmçinin təsir göstərilə bilər.

JavaScript-i söndürün. Müxtəlif domenlərə HTTP əsaslı autenfikasiyasından və istifadə yenidən təyin etlərindən istifadə edən saytlara əslini təsdiq etməyin.

Bu zəiflik hər iki IBM Informix Dynamic Server-inin və EMC Legato Networker-in zəif qurulmalarında əsassız kodu icra etmək üçün hücum edənlərə imkan verir. İstifadəçi qarşılıqlı təsiri bu zəifliyi istismar etməyə tələb olunmur.

Müəyyən çatışmazlıqlar librpc.dll, təhlil edən RPC protokolu çərçivəsində mövcuddur, ISM Portmapper xidməti (portmap.exe) ilə istifadə edilən TCP porta 36890-a susmaya görə bağladı. Əslliyinin müəyyənləşdirilməsi ərzində, təchiz edilən parametr ölçülərini yoxlayan müvafiq sağlam fikirliliyin çatışmazlığı istifadəyə yararlı stek ilə nəticələnə bilər və buferi əsaslandırılan qalaq SYSTEM istifadəçisinin kontekstinin altında əsassız kod icrasına gətirmək sərhəddi aşırmaq mümkündür.

İstehsalçının vebsaytı ilə ən axırıncı versiyanı yükləyin.

http://www-933.ibm.com/support/fixcentral/

Aşkar edilən zəifliklər sistemi təhlükə altında qoymaq üçün kənar istifadəçiyə imkan verə bilər.

1. Siz funksional "Site Explorer" ilə qovluğu açanda zəifliyə sərhəd səhvlərinə görə səbəb olunur. Kənar istifadəçi səbəb ola bilər ki, stek sərhəddi aşırımı və hədəf sistemində əsassız kodu yerinə yetirilməsi.
2. Zəifliyə sərhəd səhvlərinə görə səbəb olunur, nə vaxt ki funksional "Site Explorer" istifadə edən veb-saytları açaraq. Kənar istifadəçi səbəb ola bilər ki, stek sərhəddi aşırımı və hədəf sistemində əsassız kodu yerinə yetirilməsi.
3. Zəifliyə sərhəd səhvlərinə görə səbəb olunur, nə vaxt ki FTP serverində kataloqu quraşdıraraq. Kənar istifadəçi səbəb ola bilər ki, stek sərhəddi aşırımı və hədəf sistemində əsassız kodu yerinə yetirilməsi.
4. Emal təzə adresə göndərəndə zəifliyə sərhəd səhvlərinə görə səbəb olunur. Kənar istifadəçi səbəb ola bilər ki, stek sərhəddi aşırımı və hədəf sistemində əsassız kodu yerinə yetirilməsi.
5. Zəiflik faylları yükləmək əvvəl metalink fayllarında əlamət "name" elementi "file" kafi olmayan giriş məlumatına görə mövcuddur. Bu sistemdə əsassız kataloqa faylları yazmaq üçün kataloq kəsişməsi xarakterlərindən istifadə etməklə istismar edilə bilər.

  İstehsalçının vebsaytı ilə ən axırıncı versiya 3.0 build 852 yükləyin.

Zəiflik pisniyyətli adamlar tərəfindən istismar edilə bilən Joomla üçün reklam komponentdə aşkar edilmişdir potensial olaraq həssas informasiyanı açıqlamaq imkanı verir.

Giriş məlumatı uyğun şəkildə index.php-də ("option" "com_aardvertiser-ə" quraşdıranda) '"task" parametrinə keçdi, faylları daxil etmək üçün istifadə edilən olmağı əvvəl təsdiq etdi. Bu kataloq kəsişməsi hücumları vasitəsilə yerli resurslardan əsassız faylları daxil etmək üçün istismar edilə bilər.

Zəifliyi aradan qaldırmaq üçün yollar hal-hazırda mövcud deyil.

Aşkar edilən zəifliklər müəyyən təhlükəsizlik məhdudiyyətləri yan keçmək və sistem təhlükə altında qoymaq üçün kənar istifadəçiyə imkan verə bilər.

1. Zəiflik KGet-də faylları yükləməkdən əvvəl metalink fayllarında əlamət "adı" maddəsi "faylında" kafi olmayan giriş məlumatına görə mövcuddur. Bu sistemdə əsassız kataloqa faylları yazmaq üçün kataloq kəsişməsi xarakterlərindən istifadə etməklə istismar edilə bilər.
2. Zəiflik mövcuddur, KGet istifadəçini təhrik etməksiz faylı yükləməyə başlayır, nə qədər ki faylı yükləmək üçün razılaşmanın dialoq pəncərəsini göstərərək. Uzaq istifadəçi sistemdə mövcud faylların üstünə yaza bilər.

4.3 və 4.4 versiyaları üçün KDE Subversion repozitoriyasından yamaqları tətbiq edin. 

Zəiflik istifadəçinin sistemini təhlükə altında qoymaq üçün pisniyyətli şəxslər tərəfindən istismar edilə bilən Apple Safari-də aşkar edilmişdir.

Zəifliyə valideyn pəncərələrinin işlənməsində səhvə görə səbəb olunur və etibarsız göstəricidən istifadə edən funksiya çağırışı ilə nəticələnə bilər. İstifadəçi məsələn xüsusilə emal edilən veb-səhifəyə səfər edəndə bu əsassız kodu yerinə yetirmək üçün istismar edilə bilər və açılan pəncərələr sıçrayır.

Zəiflik Windows üçün Safari versiyası 4.0.5-də təsdiq edilir. Başqa versiyalara həmçinin təsir göstərilə bilər.

Zəiflik anlayışın bu sübutunu bölmüş Polşa tədqiqatçısı Krystian Koskowski tərəfindən aşkar edildi. Secunia "kritik" zəifliyini, onun beş sıra ciddiliyi miqyasında saniyə ən yüksək qiyməti qiymətləndirdi. US CERTi deyilən tədqiqatçıları həmçin zəifliyi təsdiq etdilər.

Etibarsız veb-saytlarına səfər etməkdən baş çəkin.

Apple məlumatlara izahat verməmişdir. Yamaq buraxılana qədər, təhdid javascript-i söndürmək ilə azaldıla bilər, CERT dedi.

Zəiflik cross-site scripting hücumlarını aparmaq üçün kənar şəxslər tərəfindən istismar edilə bilən LXR Cross Referencer-ində aşkar edilmişdir.

Giriş keçdi, "i" /ident-də parametr istifadəçiyə qayıdılandan əvvəl uyğun şəkildə sanitar vəziyyətini yaxşılaşdırılmır. Bu zədəli saytın kontekstində istifadəçinin brauzer sessiyasında əsassız HTML-i və ssenari kodlarını yerinə yetirmək üçün istismar edilə bilər.

LXR zəifləyi məlumatı haqqında Dan Rozenberq tərəfindən məlumat verilmişdi.

0.9.7 versiyaya yeniləmə.

Zəiflik cross-site scripting hücumlarını aparmaq üçün kənar şəxslər tərəfindən istismar edilə bilən LXR Cross Referencer-ində aşkar edilmişdir.

Giriş keçdi, "i" /ident-də parametr istifadəçiyə qayıdılandan əvvəl uyğun şəkildə sanitar vəziyyətini yaxşılaşdırılmır. Bu zədəli saytın kontekstində istifadəçinin brauzer sessiyasında əsassız HTML-i və ssenari kodlarını yerinə yetirmək üçün istismar edilə bilər.

LXR zəifləyi məlumatı haqqında Dan Rozenberq tərəfindən məlumat verilmişdi.

0.9.7 versiyaya yeniləmə.

2009-cu ildə, Consona SupportSoftun müəssisə proqram təminatı aktivlərini əldə etdi, şəbəkə əsaslı kömək proqram təminatı daxil olmaqla Intelligent Assistance Suite (IAS) adlandırdı. IAS müştərisi komponentləri ActiveX idarə etmələri, NETSCAPE qoşmaları quraşdırıcıları və ya avtonom vasitəsilə çatdırılır. IAS Microsoft Windows platformalarında işləyir. Bu zəifliklər ilə təsir göstərilən Consona məhsulları Consona Live Assistance, Consona Dynamic Agent, Consona Subscriber Assistance, Repair Manager, Consona Subscriber Activiation, and Subscriber Agent özündə saxlayır. 

IAS müxtəlif komponentlərdə zəiflikləri özündə saxlayır.

• ns6plugindestructor.asp faylında cross-site scripting (XSS).
• SdcUser.TgConCtl ActiveX idarə etməsi (tgctlcm.dll) ilə təmin edilən təhlükəli metodlar.
• Bufer SdcUser.TgConCtl ActiveX idarə etməsində (tgctlcm.dll) sərhəddi aşır.
• Repair Service (yalnız Windows Vistada və Windows 7-də quraşdırılan) lokal səlahiyətlərin yüksəlməsi.

Bu zəifliklərin bir neçəsindən istifadə edərək, hücum edən zəif sistemdə əsassız kodu yerinə yetirə bilər. Məsələn, XSS zəifliyindən onda idarə etmə ilə təmin edilən təhlükəli metodlardan istifadə edən əsassız proqramları yükləmək üçün və yerinə yetirmək üçün istifadə edilə bilən SdcUser.TgConCtl idarə etməsi misallarla aydınlaşdırmaq üçün istifadə edilə bilər. Repair Service istifadəçi (və ya Low-Rights IE) SYSTEM səlahiyatlərini qaldırmaq üçün istifadə edilə bilər.

İnam ilə xüsusilə hazırlanan HTML sənədinə (veb-səhifə, HTML elektron poçt məlumat) baxmaq üçün istifadəçi, hücum edən istifadəçinin səlahiyyətləri ilə əsassız kodu yerinə yetirə bildi və Repair Service vasitəsilə SYSTEM səlahiyyətlərini bəlkə əldə edirə bildi.

IAS/Consona dəstəyi xidmətlərini təmin edən saytlar Təhlükəsizlik Bülleteninə 2010 apreldə istinad edilən müvafiq yamaqları tətbiq etməlisiz.

n6plugindestructor.asp-ı silin.

İlk cross-site scripting vektorunu yox etmək, IAS/Consona dəstəyi xidmətlərini təmin edən saytlar dəstək veb-saytından ns6plugindestructor.asp-ı silin. Bu faylı silməklə çətin ki funksional imkanı azaltmaq üçün, ancaq əks effektləri ola bilər.

SdcUser.TgConCtl ActiveX idarə etməsinə domenilərə giriş limitini qoyun.

SupportSoft ActiveX idarə etmələri yalnız həqiqi lisenziya informasiyasını özündə saxlayan saytlardan skriptlər ola bilər. Rəhbərliyin ardınca 2010 apreldə Təhlükəsizlik Bülleteni, IAS/Consona dəstəyi xidmətlərini təmin edən saytlar DNS spoofing hücumlarının imkanını azaltmaq üçün Windows qeyd şöbəsində (reesterdə) imkan verilən domenləri siyahıya daxil etmək və HTTPS-dən istifadə etmək idarə etmələri qəbul etmək ilə domen girişi məhdudiyyətləri arta bilər.

Internet Explorerdə SdcUser.TgConCtl ActiveX idarə etməsini söndürün.

IAS/Consona dəstəyi xidmətlərinin şəbəkə müştəriləri qaydaya salma ilə Internet Explorerdə zəif ActiveX idarə etməsini söndürün, növbəti CLSID silin:

{01113300-3E00-11D2-8470-0060089874ED}
 

Daha çox informasiya əldə etmək, Microsoft Support Document 240797-də mümkündür. Alternativ olaraq, növbəti mətn .reg faylı kimi saxlana bilər və Windows qeyd şöbəsinə (reesterdə) idxal edilə bilər:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{01113300-3E00-11D2-8470-0060089874ED}]
"Compatibility Flags"=dword:00000400

Aşkar edilən zəifliklər istifadəçinin qorunan məlumatına girişi əldə etmək üçün kənar istifadəçiyə imkanı yaradır.

1. Zəiflik funksiya addcslashes() yerinə yetirməsində kəsilmələrdən kafi olmayan müdafiəyə görə mövcuddur. Kənar istifadəçi qorunan məlumata potensial olaraq girişi əldə edə bilər.

2. Zəiflik funksiya chunk_split() yerinə yetirməsində kəsilmələrdən kafi olmayan müdafiəyə görə mövcuddur. Kənar istifadəçi qorunan məlumata potensial olaraq girişi əldə edə bilər. 

Zəifliyi aradan qaldırmaq üçün yollar hal-hazırda mövcud deyil.