0day.today - 最大、世界でのデータベースを利用します。

言語を選択してください:

あなたは0day.today について知っておくべきこと：

私たちは一つのメインのドメインを使用します。http://0day.today
材料のほとんどは完全に無料
あなたがしたい場合はエクスプロイトを購入 / V.I.P.を取得アクセスまたは任意の他のサービスのために支払います、
あなたが購入したり、獲得する必要があります金

We accept currencies: [contact admin to find more]

私たちはあなたの目的をハッキングするためのツールとして、私たちのサイトを利用したいので、行動のあらゆる種類のことでしていませんあなたがアクセスする権限がありませんillegaly他のユーザーやウェブサイト禁止されますに影響を与えますあなたのデータを含め、あなたのアカウントが破棄されます。
ログインこのサイトの管理者が使用しています公式の連絡先.詐欺師にご注意！

We DO NOT use Telegram or any messengers / social networks!
Please, beware of scammers!

私は0day.todayのユーザーを登録しています。私は将来的に、この画面を表示したくありません。

最初の何をしますか？

読みます [ 契約 ]
読みます [ 送信 ] ルール
訪問します [ よくある質問 ] ページ
[ 登録 ] プロファイル
GET [ 金 ]
あなたがしたい場合は [ 売り ]
あなたがしたい場合は [ 買い ]
あなたが失われた場合は [ アカウント ]
ご質問 [ [email protected] ]

メインリンク

次の方法でご連絡することができます

Mail:

[email protected]

Facebook:

Inj3ct0rs

Twitter:

Inj3ct0r

Telegram:

We DO NOT use Telegram or any messengers / social networks!

[ 承認 ] [ 登録 ] [ アカウントの復元 ]

次の方法でご連絡することができます:

Mail:

[email protected]

Facebook:

Inj3ct0rs

Twitter:

Inj3ct0r

Telegram:

We DO NOT use Telegram or any messengers / social networks!

WebKit - Universal XSS Using Cached Pages Exploit

著者

Google Security Research

リスク

[

セキュリティリスクミディアム

]

0day-ID

カテゴリ

日付の追加

プラットフォーム

VULNERABILITY DETAILS
```
void FrameLoader::detachChildren()
{
[...]
    SubframeLoadingDisabler subframeLoadingDisabler(m_frame.document()); // ***1***

    Vector<Ref<Frame>, 16> childrenToDetach;
    childrenToDetach.reserveInitialCapacity(m_frame.tree().childCount());
    for (Frame* child = m_frame.tree().lastChild(); child; child = child->tree().previousSibling())
        childrenToDetach.uncheckedAppend(*child);
    for (auto& child : childrenToDetach)
        child->loader().detachFromParent();
}
```

When a cached page is being restored, and the page that's being navigated away is not cacheable,
there exists a time frame during which two documents are attached to the same frame. If an attacker
finds a way to run JS during this time frame, she will be able to use one of the documents to
execute JavaScript in the context of the other one.

One possible call stack that might lead to JS execution is:
```
a child frame's unload handler
...
ContainerNode::disconnectDescendantFrames()
Document::prepareForDestruction()
FrameLoader::clear()
FrameLoader::open()
```

By the time `FrameLoader::clear` is called, child frames are usually already disconnected from the
document via
```
FrameLoader::detachChildren()
FrameLoader::setDocumentLoader()
FrameLoader::transitionToCommitted()
```

However, the attacker can initiate a new page load inside `detachChildren` to bypass
`SubframeLoadingDisabler` and create a new child frame. Note that it won't cancel the cached page
load.

The attack has a restriction that significantly limits its applicability -- a victim page should
load a (potentially sandboxed) <iframe> with attacker-controlled content, so the attacker's JS has
a chance to run inside `Document::prepareForDestruction`. This is the case, for example, for online
translators.


VERSION
WebKit revision 246194
It's unclear whether the bug is exploitable in Safari 12.1.1. The repro case seem to have an issue
with a nested `showModalDialog` call.


REPRODUCTION CASE
The test case again relies on `showModalDialog` to perform synchronous page loads. Moreover, the
code is wrapped inside a `showModalDialog` call to keep a user gesture token active throughout its
execution.


CREDIT INFORMATION
Sergei Glazunov of Google Project Zero


Proof of Concept:
https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/47453.zip

#  0day.today [2024-07-01]  #

We DO NOT use Telegram or any messengers / social networks!

Please, beware of scammers!

WebKit - Universal XSS Using Cached Pages Exploit

エラー報告

エラー報告