Apple łata lukę za 10 tys. USD

Koncern Apple udostępnił poprawkę, usuwającą błąd w zabezpieczeniach "silnika" WebKit, wykorzystywanego w przeglądarce internetowej Safari. To właśnie z tej luki skorzystał trzy tygodnie temu jeden z uczestników konkursu PWN2OWN - Charlie Miller włamał się przez nią do MacBooka Air i wygrał 10 tys. USD.

Aż do teraz nie było wiadomo nic o owym błędzie - Miller oraz organizator konkursu, firma TippingPoint, ujawnili jedynie, że znajduje się on w przeglądarce Safari. Z publikacją szczegółowych informacji na jego temat zwlekano do momentu przygotowania i udostępnienia przez Apple odpowiedniej poprawki. Przypomnijmy: luka w Safarii została wykorzystana przez amerykańskiego specjalistę ds. bezpieczeństwa Charlie'go Miller - dzięki niej w zaledwie 2 minuty włamał się do komputera z Mac OS X i wygrał ów komputer oraz 10 tys. USD. Szerzej pisaliśmy o tym w tekście "PWN 2 OWN: Mac pierwszą ofiarą".

Teraz ujawniono, że problem dotyczył open-source'owego mechanizmu renderującego kod HTML o nazwie WebKit, który wykorzystywany jest w Safari oraz kilku innych programach dołączonych do Mac OS X (np. Dashboard oraz Mail). Okazało się, że luka pozwala na nieautoryzowane uruchomienie kodu - w tym celu wystarczy podsunąć przeglądarce odpowiednio spreparowany skrypt JavaScript (np. osadzony na stronie WWW).

Udostępnione właśnie przez Apple'a uaktualnienie - Safari 3.1.1 - usuwa również z WebKit inny błąd, umożliwiający przeprowadzenie ataku typu CrossSiteScripting (pozwala on np. na wykradanie danych niezbędnych do logowania do stron WWW czy przechwycenie informacji wprowadzanych za pomocą klawiatury). Problem dotyczy Safari zarówno w wersji dla Mac OS X, jak i Windows - użytkownikom zaleca się uaktualnienie oprogramowania.

Więcej informacji oraz pliki do pobrania znaleźć można na stronie firmy Apple.


Zobacz również