Apple WebKit任意代码执行漏洞（CNVD-2016-03506）

CVE编号

CVE-2016-1856

利用情况

暂无

补丁情况

官方补丁

披露时间

2016-05-21

漏洞描述

Apple WebKit是开源的web浏览器引擎。
Apple iOS 9.3.2之前版本、tvOS 9.2.1之前版本和Safari 9.1.1之前版本的WebKit中存在任意代码执行漏洞，攻击者可利用该漏洞借助特制的网站内容执行任意代码。

解决建议

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：
https://support.apple.com/en-au/HT206564

参考链接
http://lists.apple.com/archives/security-announce/2016/May/msg00001.html
http://lists.apple.com/archives/security-announce/2016/May/msg00002.html
http://lists.apple.com/archives/security-announce/2016/May/msg00005.html
http://packetstormsecurity.com/files/137229/WebKitGTK-Code-Execution-Denial-O...
http://www.securityfocus.com/archive/1/538522/100/0/threaded
http://www.securitytracker.com/id/1035888
http://www.zerodayinitiative.com/advisories/ZDI-16-342
https://support.apple.com/HT206564
https://support.apple.com/HT206565
https://support.apple.com/HT206568

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	apple	safari	*		Up to (excluding) 9.1.1
	运行在以下环境
	应用	webkitgtk	webkitgtk+	*		Up to (excluding) 2.12.1
	运行在以下环境
	系统	apple	iphone_os	*		Up to (excluding) 9.3.2
	运行在以下环境
	系统	apple	tvos	*		Up to (excluding) 9.2.1
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 0
	运行在以下环境
	系统	debian_9	webkitgtk	*		Up to (excluding) 2.4.11-3
	运行在以下环境
	系统	fedora_22	webkitgtk	*		Up to (excluding) 2.12.3-1.fc22
	运行在以下环境
	系统	fedora_23	webkitgtk	*		Up to (excluding) 2.12.3-1.fc23
	运行在以下环境
	系统	fedora_24	webkitgtk	*		Up to (excluding) 2.12.3-1.fc24
	运行在以下环境
	系统	sles_12	libwebkit2gtk3-lang	*		Up to (excluding) 2.12.5-1
	运行在以下环境
	系统	ubuntu_16.04	webkitgtk	*		Up to (excluding) 2.12.5-0ubuntu0.16.04.1
	运行在以下环境
	系统	ubuntu_16.04_lts	webkit2gtk	*		Up to (excluding) 2.12.5-0ubuntu0.16.04.1
查看完整数据

阿里云评分 3.1

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID 漏洞类型 CWE-119 内存缓冲区边界内操作的限制不恰当