CVE-2021-30898:High Caffeine Content の Steven Troughton-Smith 氏 (@stroughtonsmith)
説明:Safari の HTTP Content -Disposition ヘッダの「attachment」値に対するサポートに問題が存在します。このヘッダは、多くの Web サイトで第三者によってアップロードされたファイルを提供するために使用されています (Web ベースの電子メールアプリケーションにおける添付ファイルなど)。このヘッダ値を使用して提供されるファイルのスクリプトは、ファイルがインラインで提供されたかのように実行され、オリジンサーバのその他のリソースへのフルアクセスを持ちます。この問題は、ヘッダと共に提供されるリソースをインラインで表示するのではなく、ダウンロードすることで解消されています。...
説明:メールによる添付ファイルの処理に、ロジックの問題が存在します。後から届いたメールの添付ファイルの Content -ID が前のメールと同じ場合、2 通のメールの送信者が違う場合でも、前に届いた方の添付ファイルが表示されます。そのせいで、スプーフィングやフィッシング攻撃を受けやすくなります。この問題は、添付ファイルの処理を改善することで解決されました。...
Appleサポートコミュニティにアクセスすれば、質問したり、既存の回答を見つけたり、ほかのユーザーと専門知識を共有することができます。
コミュニティにアクセスする