Вчера компания Apple пропатчила рекордное количество уязвимостей (62) в
Safari 5, обновив браузер для платформ Mac и Windows до версии 5.0.4.
Обновление безопасности для Safari было выпущено в среду то же самое время,
что и iOS 4.3, где также было устранено много уязвимостей.
Но обновлении Apple очевидно не помогло программе на соревновании хакеров
Pwn2Own , которое началось
на этой неделе со взлома браузера. Согласно Питеру Вройденхилу из HP
TippingPoint, спонсора Pwn2Own , браузеры были "заморожены" за 2 недели до
начала конкурса, и поэтому выбранный мишенью MacBook Air не получил Safari
5.0.4. "Разработка эксплойтов иногда полагается на определенные версии, и это
является причиной того, что мы имеем дело с замороженными устройствами", -
сообщил сегодня Вройденхил в e-mail, отвечая на вопросы.
Но патчи могут по-прежнему сыграть роль. Если уязвимости, используемые
исследователями для взлома Safari, были бы пропатчены в версии 5.0.4, компания
TippingPoint не выдала бы приз в размере $15 000, признал Вройденхил.
Шесть из 62 уязвимостей, пропатченных вчера, сопровождались фразой
"незаконное выполнение кода", что в Apple оценивают как "критические"
уязвимости. Хотя в отличие от других производителей браузеров, включая Google,
Microsoft и Mozilla, Apple не присваивает оценки уязвимостям.
Согласно информационному сообщению Apple, 57 из 62 багов могут быть
эксплуатированы "drive-by" атаками, которые вступают в действие, как только
жертва заходит на вредоносный бсайт при помощи необновленного Safari.
Большинство уязвимостей находится в WebKit, открытом браузерном движке, на
котором работает Safari, а также Google Chrome. На самом деле, больше половины
багов, которые компания Apple устранила сегодня, были изначально обнаружены и
оглашены специалистами по защите информации из Google или независимыми
исследователями, которые часто получают денежные призы за обнаружение
уязвимостей в рамках специальной программы.
Компания Apple также решила несколько проблем, не относящийхся к
безопасности, включая одну, которая делала сайты нестабильными, когда они
воспроизводили контент со сложными плагинами; другая выливалась в неправильное
отображение веб-страниц. Также были решены проблемы с совместимостью VoiceOver.
VoiceOver - это функция, встроенная в ОС Mac OS X, которая озвучивает информацию
на экране компьютера: произнося текст, содержащийся в документах и окнах, она
позволяет людям с плохим зрениям, а также слепым использовать Mac и его браузер
Safari.
