Apple готовит Safari к Pwn2Own

За две недели до начала конференции CanSecWest 2010, на которой соберутся специалисты по компьютерной безопасности со всего мира, компания Apple выпустила новую версию своего браузера, Safari 4.0.5, для операционных систем Mac OS X и Windows. Всего исправлено 16 ошибок, 12 из которых являются критическими уязвимостями, которые могут быть использованы для захвата контроля над машиной. Предыдущее, ноябрьское обновление состояло из патчей для семи ошибок.

Дополнительная защита не помешает Safari во время состязания хакеров Pwn2Own, ставшего традиционным для ванкуверской конференции. Его участники должны будут взломать браузеры Internet Explorer, Firefox, Safari и Google Chrome в борьбе за призовой фонд размером в 40 тысяч долларов, причем организаторы соревнования предсказывают, что защита Safari падет первой.

Согласно информационному бюллетеню Apple, три четверти всех исправленных уязвимостей могли дать злоумышленнику возможность выполнить произвольный код на машине жертвы. 9 из 16 ошибок содержались в открытом движке браузера WebKit, а 6 присутствовали лишь в Windows-версии браузера, угрожая всем трем актуальным настольным версиям системы – Windows 7, Vista и XP. 4 из них были обнаружены в обработчике изображений ImageIO и могли быть использованы при просмотре в Safari изображений в формате TIFF или BMP, содержащих вредоносный код.

На две из 16 уязвимостей указали сотрудники компаний-конкурентов Apple: Билли Риос (Billy Rios) из команды Microsoft Vulnerability Research (MSVR) и Роберт Свецки (Robert Swiecki), работающий в компании Google и опубликовавший информацию об одной из ошибок в Webkit. Именно безопасность движка может определить успех браузера как на рынке, так и на Pwn2Own: не так давно Аарон Портной (Aaron Portnoy), возглавляющий команду исследователей компании TippingPoint Technologies, спонсора соревнований, заявил что Safari провалится отчасти потому, что он основан "на известном своими дефектами WebKit".

Safari 4.0.5 отличается от своего предшественника улучшенной стабильностью работы плагинов и повышенной производительностью. В новой версии исправлены ошибки, не затрагивающие вопросы безопасности и касающиеся обработки параметров маршрутизатора и интеграции с iWork. В общем рейтинге браузеров Safari занимает 4 место после того, как в начале года его обошел Google Chrome вскоре после выпуска бета-версий для Linux и Mac OS X.