Aggiornamento massiccio di sicurezza per Safari prima del Pwn2Own

Apple ha da poco rilasciato un aggiornamento massiccio di sicurezza per Safari, pochi minuti prima della partenza del contest Pwn2Own 2011, ma ciò non ha permesso di fermare la sua compromissione da parte degli hacker. Il nuovo Safari 5.0.4 è stato rilasciato per Windows, Mac OS X 10.6 e Mac OS X 10.5, e risolve 62 vulnerabilità in diversi componenti. Dei difetti patchati 56 avrebbero potuto causare l'esecuzione di codice arbitrario e la maggior parte di loro sono stati sfruttati navigando verso una pagina web pericolosa. Due vulnerabilità di esecuzione di codice arbitrario sono state affrontate in libpng aggiornando la libreria di terze parti incorporate nella versione 1.4.3. Tre falle critiche simili relative al formato JPEG e l'analisi TIFF sono state patchate nella componente ImageIO, mentre ulteriori due bug sono stati identificati e fissati in libxml. Il resto dei bug erano situate in WebKit e sono stati segnalati a monte da parte degli sviluppatori e ricercatori coinvolti nel progetto Chromium, che utilizza anche il motore di rendering. L'elenco dei crediti è diffuso con i nomi dei tecnici della sicurezza da parte di Google e di altri contributori regolari di sicurezza Chrome come Sergey Glazunov, Kuzzcc, Wushi e Aki Helin. A parte i numerosi errori di esecuzione di codice arbitrario, sei altre vulnerabilità sono stati corrette in WebKit. Queste avrebbero potuto provocare l'esposizione delle credenziali di Autenticazione HTTP, dichiarazione di stile cross-site, la negazione delle risorse, l'intercettazione di informazioni e di cross-site scripting. Safari 5.0.4 è arrivato pochi minuti prima dell'inizio dell'edizione 2011 del concorso di hacking Pwn2Own che pone i ricercatori contro le vulnerabilità dei browser. Dopo l'uscita, la società francese di ricerca delle vulnerabilità VUPEN Security ha annunciato che la patch hanno rotto un paio di exploit, ma non tutti. Questo è stato poi dimostrato quando il ricercatore è riuscito a compromettere il browser in cinque secondi. L'elenco degli aggiornamenti è disponibile qui. Safari 5.0.4 per Windows e Mac può essere scaricato da qui.