Apple Safari域扩展不安全Cookie访问漏洞

BUGTRAQ ID: 30192
CVE(CAN) ID: CVE-2008-3170

Safari是苹果家族机器操作系统中默认捆绑的WEB浏览器。

Safari允许站点为某些特定国家的二级域名（如co.uk、com.au）设置cookies，如果攻击者在cookie中设置了类似于“, arbitrary_name=arbitrary_value”的值的话，Safari在解析Set-Cookie头时就会导致会话修复攻击，允许攻击者劫持用户的HTTP会话执行网络钓鱼等攻击。

Apple Safari 3.1.2
Apple

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

<a href=“http://www.apple.com” target=“_blank”>http://www.apple.com</a>