NVD Vulnerability Detail

CVE-2017-2504

Summary	An issue was discovered in certain Apple products. iOS before 10.3.2 is affected. Safari before 10.1.1 is affected. tvOS before 10.2.1 is affected. The issue involves the "WebKit" component. It allows remote attackers to conduct Universal XSS (UXSS) attacks via a crafted web site that improperly interacts with WebKit Editor commands.
Publication Date	May 22, 2017, 2:29 p.m.
Registration Date	Jan. 26, 2021, 1:22 p.m.
Last Update	Nov. 21, 2024, 12:23 p.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://www.securityfocus.com/bid/98473	Third Party Advisory VDB Entry
2	http://www.securityfocus.com/bid/98473	Third Party Advisory VDB Entry
3	http://www.securitytracker.com/id/1038487	Third Party Advisory VDB Entry
4	http://www.securitytracker.com/id/1038487	Third Party Advisory VDB Entry
5	https://security.gentoo.org/glsa/201706-15	Third Party Advisory
6	https://security.gentoo.org/glsa/201706-15	Third Party Advisory
7	https://support.apple.com/HT207798	Vendor Advisory
8	https://support.apple.com/HT207798	Vendor Advisory
9	https://support.apple.com/HT207801	Vendor Advisory
10	https://support.apple.com/HT207801	Vendor Advisory
11	https://support.apple.com/HT207804	Vendor Advisory
12	https://support.apple.com/HT207804	Vendor Advisory
13	https://www.exploit-db.com/exploits/42064/	Exploit Third Party Advisory VDB Entry
14	https://www.exploit-db.com/exploits/42064/	Exploit Third Party Advisory VDB Entry

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html

JVN Vulnerability Information

複数の Apple 製品などで使用される WebKit におけるユニバーサルクロスサイトスクリプティングの脆弱性

Title	複数の Apple 製品などで使用される WebKit におけるユニバーサルクロスサイトスクリプティングの脆弱性
Summary	Apple iOS、Safari、および tvOS などで使用される WebKit には、ユニバーサルクロスサイトスクリプティングの脆弱性が存在します。
Possible impacts	リモートの攻撃者により、WebKit Editor コマンドと不適切な処理を行う巧妙に細工された Web サイトを介して、ユニバーサルクロスサイトスクリプティング攻撃を実行される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 15, 2017, midnight
Registration Date	June 8, 2017, 12:26 p.m.
Last Update	June 8, 2017, 12:26 p.m.

Affected System

アップル

iOS 10.3.2 未満 (iPad 第 4 世代以降)

iOS 10.3.2 未満 (iPhone 5 以降)

iOS 10.3.2 未満 (iPod touch 第 6 世代)

Safari 10.1.1 未満 (macOS Sierra 10.12.5)

Safari 10.1.1 未満 (OS X El Capitan 10.11.6)

Safari 10.1.1 未満 (OS X Yosemite 10.10.5)

tvOS 10.2.1 未満 (Apple TV (第 4 世代))

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2017-2504	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-2504
National Vulnerability Database (NVD)
2	CVE-2017-2504	https://nvd.nist.gov/vuln/detail/CVE-2017-2504

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
Apple
1	Apple security updates	https://support.apple.com/en-us/HT201222
Apple Security Updates
2	HT207798	https://support.apple.com/en-us/HT207798
3	HT207801	https://support.apple.com/en-us/HT207801
4	HT207804	https://support.apple.com/en-us/HT207804
Apple セキュリティアップデート
5	HT207798	https://support.apple.com/ja-jp/HT207798
6	HT207801	https://support.apple.com/ja-jp/HT207801
7	HT207804	https://support.apple.com/ja-jp/HT207804

その他

No	Name	URL
JVN
1	JVNVU#98089541	http://jvn.jp/vu/JVNVU98089541/index.html

Change Log

No	Changed Details	Date of change
0	[2017年06月08日] 掲載	Feb. 17, 2018, 10:37 a.m.