ID CVE-2009-1696
Summary WebKit in Apple Safari before 4.0, iPhone OS 1.0 through 2.2.1, and iPhone OS for iPod touch 1.1 through 2.2.1 uses predictable random numbers in JavaScript applications, which makes it easier for remote web servers to track the behavior of a Safari user during a session.
References
Vulnerable Configurations
  • cpe:2.3:a:apple:safari:0.8:*:mac:*:*:*:*:*
    cpe:2.3:a:apple:safari:0.8:*:mac:*:*:*:*:*
  • cpe:2.3:a:apple:safari:0.9:*:mac:*:*:*:*:*
    cpe:2.3:a:apple:safari:0.9:*:mac:*:*:*:*:*
  • cpe:2.3:a:apple:safari:1.0:*:mac:*:*:*:*:*
    cpe:2.3:a:apple:safari:1.0:*:mac:*:*:*:*:*
  • cpe:2.3:a:apple:safari:1.0.3:*:mac:*:*:*:*:*
    cpe:2.3:a:apple:safari:1.0.3:*:mac:*:*:*:*:*
  • cpe:2.3:a:apple:safari:1.1:*:mac:*:*:*:*:*
    cpe:2.3:a:apple:safari:1.1:*:mac:*:*:*:*:*
  • cpe:2.3:a:apple:safari:1.2:*:mac:*:*:*:*:*
    cpe:2.3:a:apple:safari:1.2:*:mac:*:*:*:*:*
  • cpe:2.3:a:apple:safari:1.3:*:mac:*:*:*:*:*
    cpe:2.3:a:apple:safari:1.3:*:mac:*:*:*:*:*
  • cpe:2.3:a:apple:safari:1.3.1:*:mac:*:*:*:*:*
    cpe:2.3:a:apple:safari:1.3.1:*:mac:*:*:*:*:*
  • cpe:2.3:a:apple:safari:1.3.2:*:mac:*:*:*:*:*
    cpe:2.3:a:apple:safari:1.3.2:*:mac:*:*:*:*:*
  • cpe:2.3:a:apple:safari:2.0:*:mac:*:*:*:*:*
    cpe:2.3:a:apple:safari:2.0:*:mac:*:*:*:*:*
  • cpe:2.3:a:apple:safari:2.0.2:*:mac:*:*:*:*:*
    cpe:2.3:a:apple:safari:2.0.2:*:mac:*:*:*:*:*
  • cpe:2.3:a:apple:safari:2.0.4:*:mac:*:*:*:*:*
    cpe:2.3:a:apple:safari:2.0.4:*:mac:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.0:*:mac:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.0:*:mac:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.0.2:-:mac:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.0.2:-:mac:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.0.3:*:mac:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.0.3:*:mac:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.0.4:*:mac:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.0.4:*:mac:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.1:*:mac:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.1:*:mac:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.1.1:*:mac:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.1.1:*:mac:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.1.2:*:mac:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.1.2:*:mac:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.2.1:*:mac:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.2.1:*:mac:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.2.3:*:mac:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.2.3:*:mac:*:*:*:*:*
  • cpe:2.3:a:apple:safari:1.0b1:-:mac:*:*:*:*:*
    cpe:2.3:a:apple:safari:1.0b1:-:mac:*:*:*:*:*
  • cpe:2.3:a:apple:safari:2.0.4:-:mac:*:*:*:*:*
    cpe:2.3:a:apple:safari:2.0.4:-:mac:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.0.0:-:mac:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.0.0:-:mac:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.0.1:-:mac:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.0.1:-:mac:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.0.3:-:mac:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.0.3:-:mac:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.0.4:-:mac:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.0.4:-:mac:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.1.0:-:mac:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.1.0:-:mac:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.0:*:windows:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.0:*:windows:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.0.1:*:windows:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.0.1:*:windows:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.0.2:*:windows:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.0.2:*:windows:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.0.3:*:windows:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.0.3:*:windows:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.0.4:*:windows:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.0.4:*:windows:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.1:*:windows:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.1:*:windows:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.1.1:*:windows:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.1.1:*:windows:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.1.2:*:windows:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.1.2:*:windows:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.2:-:windows:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.2:-:windows:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.2.1:*:windows:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.2.1:*:windows:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.2.2:*:windows:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.2.2:*:windows:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.0.0b:-:windows:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.0.0b:-:windows:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.0.1b:-:windows:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.0.1b:-:windows:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.0.2b:-:windows:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.0.2b:-:windows:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.0.3b:-:windows:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.0.3b:-:windows:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.0.4b:-:windows:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.0.4b:-:windows:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.1.0b:-:windows:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.1.0b:-:windows:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.1.1b:-:windows:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.1.1b:-:windows:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.1.2b:-:windows:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.1.2b:-:windows:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.2.0b:-:windows:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.2.0b:-:windows:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.2.1b:-:windows:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.2.1b:-:windows:*:*:*:*:*
  • cpe:2.3:a:apple:safari:3.2.2b:-:windows:*:*:*:*:*
    cpe:2.3:a:apple:safari:3.2.2b:-:windows:*:*:*:*:*
CVSS
Base: 5.0 (as of 17-02-2011 - 06:43)
Impact:
Exploitability:
CWE CWE-310
CAPEC
  • Signature Spoofing by Key Recreation
    An attacker obtains an authoritative or reputable signer's private signature key by exploiting a cryptographic weakness in the signature algorithm or pseudorandom number generation and then uses this key to forge signatures from the original signer to mislead a victim into performing actions that benefit the attacker.
Access
VectorComplexityAuthentication
NETWORK LOW NONE
Impact
ConfidentialityIntegrityAvailability
PARTIAL NONE NONE
cvss-vector via4 AV:N/AC:L/Au:N/C:P/I:N/A:N
refmap via4
apple
  • APPLE-SA-2009-06-08-1
  • APPLE-SA-2009-06-17-1
bid 35260
confirm
osvdb 55027
secunia
  • 35379
  • 43068
suse SUSE-SR:2011:002
vupen
  • ADV-2009-1522
  • ADV-2009-1621
  • ADV-2011-0212
Last major update 17-02-2011 - 06:43
Published 10-06-2009 - 18:00
Last modified 17-02-2011 - 06:43
Back to Top