製品・ソフトウェアに関する情報

JVN脆弱性詳細

Apple Safari における https サイトのコンテキスト内の Web スクリプトを実行される脆弱性

Title	Apple Safari における https サイトのコンテキスト内の Web スクリプトを実行される脆弱性
Summary	Apple Safari は、最上位フレームが https を使用している場合にのみ https Web ページ内の http コンテンツを検出するため、https サイトのコンテキスト内の任意の Web スクリプトを実行される脆弱性が存在します。
Possible impacts	攻撃者により、http サイト上でスクリプトファイルを参照する https iframe を含むように http ページを変更されることで、https サイトのコンテキスト内の任意の Web スクリプトを実行される可能性があります。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	June 15, 2009, midnight
Registration Date	June 26, 2012, 4:10 p.m.
Last Update	June 26, 2012, 4:10 p.m.

CVSS2.0 : 警告
Score	6.8
Vector	AV:N/AC:M/Au:N/C:P/I:P/A:P

Affected System

アップル

Safari

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-2066	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2066
National Vulnerability Database (NVD)
2	CVE-2009-2066	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-2066

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-287	https://jvndb.jvn.jp/ja/cwe/CWE-287.html

ベンダー情報

No	Name	URL
Apple
1	Top Page	http://www.apple.com/safari/

Change Log

No	Changed Details	Date of change
0	[2012年06月26日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2009-2066

Summary	Apple Safari detects http content in https web pages only when the top-level frame uses https, which allows man-in-the-middle attackers to execute arbitrary web script, in an https site's context, by modifying an http page to include an https iframe that references a script file on an http site, related to "HTTP-Intended-but-HTTPS-Loadable (HPIHSL) pages."
Summary	Apple Safari detecta contenido http en páginas https únicamente cuando el marco (frame) de nivel superior usa https, lo que permite a atacantes "hombre-en-medio" (man-in-the-middle o MITM) ejecutar secuencias de comandos web de su elección, en un contexto de sitio https, modificando una página http para incluir un iframe https que referencia al archivo en un sitio http con la secuencia de comandos. Relacionado con "Páginas HTTP-Intended-but-HTTPS-Loadable (HPIHSL) pages."
Publication Date	June 16, 2009, 4:30 a.m.
Registration Date	Jan. 29, 2021, 1:19 p.m.
Last Update	April 23, 2026, 9:35 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:apple:safari::::::::		3.2.1
cpe:2.3:a:apple:safari:0.8:::::::*
cpe:2.3:a:apple:safari:0.9:::::::*
cpe:2.3:a:apple:safari:1.0:::::::*
cpe:2.3:a:apple:safari:1.0:beta::::::
cpe:2.3:a:apple:safari:1.0:beta2::::::
cpe:2.3:a:apple:safari:1.0.0:::::::*
cpe:2.3:a:apple:safari:1.0.0b1:::::::*
cpe:2.3:a:apple:safari:1.0.0b2:::::::*
cpe:2.3:a:apple:safari:1.0.1:::::::*
cpe:2.3:a:apple:safari:1.0.2:::::::*
cpe:2.3:a:apple:safari:1.0.3:::::::*
cpe:2.3:a:apple:safari:1.0.3:85.8::::::
cpe:2.3:a:apple:safari:1.0.3:85.8.1::::::
cpe:2.3:a:apple:safari:1.1:::::::*
cpe:2.3:a:apple:safari:1.1.0:::::::*
cpe:2.3:a:apple:safari:1.1.1:::::::*
cpe:2.3:a:apple:safari:1.2:::::::*
cpe:2.3:a:apple:safari:1.2.0:::::::*
cpe:2.3:a:apple:safari:1.2.1:::::::*
cpe:2.3:a:apple:safari:1.2.2:::::::*
cpe:2.3:a:apple:safari:1.2.3:::::::*
cpe:2.3:a:apple:safari:1.2.4:::::::*
cpe:2.3:a:apple:safari:1.2.5:::::::*
cpe:2.3:a:apple:safari:1.3:::::::*
cpe:2.3:a:apple:safari:1.3.0:::::::*
cpe:2.3:a:apple:safari:1.3.1:::::::*
cpe:2.3:a:apple:safari:1.3.2:::::::*
cpe:2.3:a:apple:safari:1.3.2:312.5::::::
cpe:2.3:a:apple:safari:1.3.2:312.6::::::
cpe:2.3:a:apple:safari:2:::::::*
cpe:2.3:a:apple:safari:2.0:::::::*
cpe:2.3:a:apple:safari:2.0.0:::::::*
cpe:2.3:a:apple:safari:2.0.1:::::::*
cpe:2.3:a:apple:safari:2.0.2:::::::*
cpe:2.3:a:apple:safari:2.0.3:::::::*
cpe:2.3:a:apple:safari:2.0.3:417.8::::::
cpe:2.3:a:apple:safari:2.0.3:417.9::::::
cpe:2.3:a:apple:safari:2.0.3:417.9.2::::::
cpe:2.3:a:apple:safari:2.0.3:417.9.3::::::
cpe:2.3:a:apple:safari:2.0.3_417.9.3:::::::*
cpe:2.3:a:apple:safari:2.0.4:::::::*
cpe:2.3:a:apple:safari:2.0.4_419.3:::::::*
cpe:2.3:a:apple:safari:2.0_pre:::::::*
cpe:2.3:a:apple:safari:3:::::::*
cpe:2.3:a:apple:safari:3.0:::::::*
cpe:2.3:a:apple:safari:3.0.0:::::::*
cpe:2.3:a:apple:safari:3.0.0b:::::::*
cpe:2.3:a:apple:safari:3.0.1:::::::*
cpe:2.3:a:apple:safari:3.0.1:beta::::::
cpe:2.3:a:apple:safari:3.0.1b:::::::*
cpe:2.3:a:apple:safari:3.0.2:::::::*
cpe:2.3:a:apple:safari:3.0.2b:::::::*
cpe:2.3:a:apple:safari:3.0.3:::::::*
cpe:2.3:a:apple:safari:3.0.3:522.15.5::::::
cpe:2.3:a:apple:safari:3.0.3b:::::::*
cpe:2.3:a:apple:safari:3.0.4:::::::*
cpe:2.3:a:apple:safari:3.0.4_beta:::::::*
cpe:2.3:a:apple:safari:3.0.4b:::::::*
cpe:2.3:a:apple:safari:3.1:::::::*
cpe:2.3:a:apple:safari:3.1.0:::::::*
cpe:2.3:a:apple:safari:3.1.0b:::::::*
cpe:2.3:a:apple:safari:3.1.1:::::::*
cpe:2.3:a:apple:safari:3.1.2:::::::*
cpe:2.3:a:apple:safari:3.2:::::::*
cpe:2.3:a:apple:safari:3.2.0:::::::*

Related information, measures and tools

No	URL	refsource
1	http://research.microsoft.com/apps/pubs/default.aspx?id=79323	cve@mitre.org
2	http://research.microsoft.com/pubs/79323/pbp-final-with-update.pdf	cve@mitre.org
3	http://www.securityfocus.com/bid/35403	cve@mitre.org
4	https://exchange.xforce.ibmcloud.com/vulnerabilities/51187	cve@mitre.org
5	http://research.microsoft.com/apps/pubs/default.aspx?id=79323	af854a3a-2127-422b-91ae-364da2661108
6	http://research.microsoft.com/pubs/79323/pbp-final-with-update.pdf	af854a3a-2127-422b-91ae-364da2661108
7	http://www.securityfocus.com/bid/35403	af854a3a-2127-422b-91ae-364da2661108
8	https://exchange.xforce.ibmcloud.com/vulnerabilities/51187	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:apple:safari::::::::		3.2.1
cpe:2.3:a:apple:safari:0.8:::::::*
cpe:2.3:a:apple:safari:0.9:::::::*
cpe:2.3:a:apple:safari:1.0:::::::*
cpe:2.3:a:apple:safari:1.0:beta::::::
cpe:2.3:a:apple:safari:1.0:beta2::::::
cpe:2.3:a:apple:safari:1.0.0:::::::*
cpe:2.3:a:apple:safari:1.0.0b1:::::::*
cpe:2.3:a:apple:safari:1.0.0b2:::::::*
cpe:2.3:a:apple:safari:1.0.1:::::::*
cpe:2.3:a:apple:safari:1.0.2:::::::*
cpe:2.3:a:apple:safari:1.0.3:::::::*
cpe:2.3:a:apple:safari:1.0.3:85.8::::::
cpe:2.3:a:apple:safari:1.0.3:85.8.1::::::
cpe:2.3:a:apple:safari:1.1:::::::*
cpe:2.3:a:apple:safari:1.1.0:::::::*
cpe:2.3:a:apple:safari:1.1.1:::::::*
cpe:2.3:a:apple:safari:1.2:::::::*
cpe:2.3:a:apple:safari:1.2.0:::::::*
cpe:2.3:a:apple:safari:1.2.1:::::::*
cpe:2.3:a:apple:safari:1.2.2:::::::*
cpe:2.3:a:apple:safari:1.2.3:::::::*
cpe:2.3:a:apple:safari:1.2.4:::::::*
cpe:2.3:a:apple:safari:1.2.5:::::::*
cpe:2.3:a:apple:safari:1.3:::::::*
cpe:2.3:a:apple:safari:1.3.0:::::::*
cpe:2.3:a:apple:safari:1.3.1:::::::*
cpe:2.3:a:apple:safari:1.3.2:::::::*
cpe:2.3:a:apple:safari:1.3.2:312.5::::::
cpe:2.3:a:apple:safari:1.3.2:312.6::::::
cpe:2.3:a:apple:safari:2:::::::*
cpe:2.3:a:apple:safari:2.0:::::::*
cpe:2.3:a:apple:safari:2.0.0:::::::*
cpe:2.3:a:apple:safari:2.0.1:::::::*
cpe:2.3:a:apple:safari:2.0.2:::::::*
cpe:2.3:a:apple:safari:2.0.3:::::::*
cpe:2.3:a:apple:safari:2.0.3:417.8::::::
cpe:2.3:a:apple:safari:2.0.3:417.9::::::
cpe:2.3:a:apple:safari:2.0.3:417.9.2::::::
cpe:2.3:a:apple:safari:2.0.3:417.9.3::::::
cpe:2.3:a:apple:safari:2.0.3_417.9.3:::::::*
cpe:2.3:a:apple:safari:2.0.4:::::::*
cpe:2.3:a:apple:safari:2.0.4_419.3:::::::*
cpe:2.3:a:apple:safari:2.0_pre:::::::*
cpe:2.3:a:apple:safari:3:::::::*
cpe:2.3:a:apple:safari:3.0:::::::*
cpe:2.3:a:apple:safari:3.0.0:::::::*
cpe:2.3:a:apple:safari:3.0.0b:::::::*
cpe:2.3:a:apple:safari:3.0.1:::::::*
cpe:2.3:a:apple:safari:3.0.1:beta::::::
cpe:2.3:a:apple:safari:3.0.1b:::::::*
cpe:2.3:a:apple:safari:3.0.2:::::::*
cpe:2.3:a:apple:safari:3.0.2b:::::::*
cpe:2.3:a:apple:safari:3.0.3:::::::*
cpe:2.3:a:apple:safari:3.0.3:522.15.5::::::
cpe:2.3:a:apple:safari:3.0.3b:::::::*
cpe:2.3:a:apple:safari:3.0.4:::::::*
cpe:2.3:a:apple:safari:3.0.4_beta:::::::*
cpe:2.3:a:apple:safari:3.0.4b:::::::*
cpe:2.3:a:apple:safari:3.1:::::::*
cpe:2.3:a:apple:safari:3.1.0:::::::*
cpe:2.3:a:apple:safari:3.1.0b:::::::*
cpe:2.3:a:apple:safari:3.1.1:::::::*
cpe:2.3:a:apple:safari:3.1.2:::::::*
cpe:2.3:a:apple:safari:3.2:::::::*
cpe:2.3:a:apple:safari:3.2.0:::::::*