Apple łata 16 luk w Safari

Koncern Apple udostępnił właśnie nową wersję przeglądarki Safari - 4.0.5. Z najnowszego wydania usunięto 16 błędów w zabezpieczeniach (12 z nich spełniało kryteria luki krytycznej). Moment opublikowania tej wersji wydaje się nieprzypadkowy - za kilkanaście dni odbędzie się bowiem słynny konkurs hakerski Pwn2Own (na którym zabezpieczenia Safari zwykle pokonywano w pierwszej kolejności).

Apple uaktualnił do wersji 4.0.5 zarówno Safari dla Mac OS X, jak i wersję dla Windows - firma najprawdopodobniej ma nadzieję, że takie wzmocnienie zabezpieczeń zniechęci przynajmniej część uczestników Pwn2Own 2010 do atakowania jej przeglądarki. Warto dodać, że organizatorzy imprezy już wcześniej prognozowali, że Safari zostanie zaatakowane (i pokonane) w pierwszej kolejności.

Tak w każdym razie wynika z dotychczasowej historii P2O - podczas poprzednich edycji przeglądarka Apple'a "padała" jako pierwsza. Tym razem za przeprowadzenie skutecznego ataku na system za pośrednictwem luki w przeglądarce będzie można wygrać nawet do 40 tys. USD. Oprócz Safari na celowniku hakerów znajdą się również Internet Explorer Microsoftu, Firefox Fudacji Mozilla oraz Chrome firmy Google.

Apple od dawna nie uaktualniał Safari - poprzednie wydanie (4.0.4, w którym usunięto 7 błędów w zabezpieczeniach) pojawiło się w listopadzie ubiegłego roku.

Z opisu najnowszego uaktualnienia wynika, że 12 z 16 załatanych właśnie błędów umożliwiało zmuszenie aplikacji do uruchomienia złośliwego kodu. Apple nie użył co prawda w odniesieniu do owych luk określenia "krytyczne", ale to tylko dlatego, że firma z jakiegoś powodu wciąż nie stosuje ogólnie przyjętych w branży IT zasad nazywania błędów w zabezpieczeniach. Tak czy owak, owe 12 luk spełnia wszelkie kryteria "luki krytycznej" - tzn. umożliwiają skuteczne, zdalne zaatakowanie systemu (i przejęcie nad nim pełnej kontroli) bez żadnych działań ze strony użytkownika. Błędy występują zarówno w wersji dla Mac OS X, jak i Windows (aczkolwiek ich liczba jest różna) - tak więc narażeni są użytkownicy obu tych systemów.

Większość błędów wykryto w apple'owskiej implementacji open-source'owego silnika WebKit (odpowiedzialnego za renderowanie kodu HTML). Sześć z szesnastu luk dotyczy wyłącznie wersji dla Windows (XP, Vista oraz Win 7) - cztery z nich znaleziono w odpowiedzialnym za obsługę plików graficznych komponencie Image IO. W ich przypadku do przeprowadzenia skutecznego ataku wystarczy podsunięcie użytkownikowi odpowiednio spreparowanej grafiki (np. w formacie TIFF).

Co najmniej dwie luki zostały wykryte przez konkurentów Apple - po jednym błędzie zgłosili firmie pracujący dla Microsoft Vulnerability Research Team Billy Rios (znany specjalista ds. bezpieczeństwa, wcześniej pracował m.in. w VeriSign) oraz Robert Święcki (polski specjalista ds. bezpieczeństwa pracujący dla Google).

Wygląda na to, że poprawki pojawiły się w idealnym momencie - przedstawiciele firmy TippingPoint, organizatora Pwn2Own, już kilka tygodni temu mówili, że zabezpieczenia Safari również w tym roku mogą zostać ośmieszone podczas konkursu (dodajmy, że w latach 2008 i 2009 ich sforsowanie zajęło hakerowi Charlie'mu Millerowi zaledwie kilka minut) - właśnie z powodu niezałatanych luk w WebKit. Niewykluczone więc, że tym razem Apple stanął na wysokości zadania i z wyprzedzeniem odciął najbardziej oczywiste drogi ataku.

Odnotujmy, że w Safari 4.0.5 nie tylko załatano luki, ale wprowadzono też kilka poprawek mających poprawiać stabilność aplikacji oraz zainstalowanych w niej plug-inów.

Przeglądarka Apple'a jest obecnie czwartym pod względem popularności programem tego typu. Jeszcze niedawno Safari plasował się na pozycji trzeciej, ale pod koniec 2009 r. przeskoczył ją nowy gracz w tym sektorze - Chrome Google'a

Najnowszą wersję Safari można pobrać ze strony Apple (program jest dostępny w wersjach dla Mac OS X 10.4 Tiger, Mac OS X 10.5 Leopard, Mac OS X 10.6 Snow Leopard, a także Windows XP, i Windows 7). Aplikację można też zaktualizować za pomocą wbudowanego modułu do pobierania poprawek.

Więcej informacji oraz pliki do pobrania: Apple.com/Safari.