Safari, stuccata falla da 10mila dollari

Apple aggiorna il browser e risolve quattro vulnerabilitÓ di sicurezza. Tra queste il bug sfruttato recentemente da un hacker per aggiudicarsi il premio al CanSecWest

Cupertino (USA) - Con la lenta ma costante diffusione di Safari anche tra gli utenti di Windows, per Apple è sempre più importante stuccare con tempestività ogni nuova vulnerabilità di sicurezza. L'ultima versione del browser, la 3.1.1, sistema quattro differenti falle, due relative al browser vero e proprio, e altre due contenute invece nel motore di rendering open source WebKit.

Una delle falle relative a WebKit è recentemente balzata agli onori delle cronache per essere valsa al suo scopritore, Charlie Miller, un premio di 10mila dollari. Premio incassato in occasione del contest PWN to OWN svoltosi presso la conferenza CanSecWest, dove Miller è riuscito a sfruttare la succitata falla per scardinare le difese di un MacBook Air e prenderne il controllo.

In questo advisory Apple descrive la debolezza come "un buffer overflow dello heap nella gestione delle espressioni regolari JavaScript da parte di WebKit" che può essere innescato "tramite JavaScript quando si elaborano espressioni regolari con un elevato numero di ripetizioni nidificate". "Questo - continua l'advisory - potrebbe causare la chiusura imprevista dell'applicazione o un'esecuzione arbitraria di codice".
La seconda vulnerabilità relativa a WebKit è invece causata da una non corretta gestione degli URL contenenti un carattere due punti nel nome dell'host. Apple sostiene che un aggressore potrebbe creare una pagina web ad hoc capace, tramite un URL fatto in un certo modo, di compromettere il sistema remoto.

Entrambe le falle di WebKit interessano sia Mac OS X che Windows XP/Vista.

Gli altri due bug di Safari affliggono invece solo Windows, e possono essere sfruttati per mezzo di una pagina Web maligna: in un caso si tratta di "un problema di temporizzazione" che permette a una pagina web di cambiare il contenuto della barra degli indirizzi senza caricare il contenuto della pagina corrispondente; nell'altro caso di una corruzione della memoria nel download di certi archivi.

Apple afferma che l'ultima versione di Safari contiene anche modifiche mirate a migliorarne compatibilità e stabilità.

Safari 3.1.1 può essere scaricato sia attraverso la funzionalità Aggiornamento software dei software Apple sia attraverso la sezione Downloads del sito della Mela.
31 Commenti alla Notizia Safari, stuccata falla da 10mila dollari
Ordina
  • Safari è sempre stato il miglior browser al mondo, sia in fattori di velocità, di usabilità che di innovazione grafica.

    Visto che da un anno circa apple a rilasciato una versione per windows, ci vorrà ancora qualche anno per renderla stabile, e fare concorrenza all'unico browser degno che è ie7.

    FFox ha sempre avuto problemi di velocità di esecuzione di codice javascript, ed una cattiva gestione della memoria, in definitiva, molti sono attratti dai plug-in e dal fatto che ha alle spalle una grossa comunità opensource, ma non centra niente col fatto che sia e continua ad essere uno dei peggior browser progettati male.
    non+autenticato
  • Io credo che la stra-grande maggioranza degli utenti Windows usa Firefox se proprio vuole un'alternativa a Internet Explorer. Perchè Safari?
    non+autenticato
  • Io non uso Firefox e nemmeno Safari.
    Sgabbio
    26177
  • - Scritto da: tino
    > Io credo che la stra-grande maggioranza degli
    > utenti Windows usa Firefox se proprio vuole
    > un'alternativa a Internet Explorer. Perchè
    > Safari?
    Perché più browser ci sono, più probabilità c'è che si rispettino gli standard.
    Se ci sono solo 2 browser, è più probabile che le pagine web siano predisposte per quei soli due browser e chi ne ha uno diverso s'attacca.

    Firefox s'è diffuso troppo, funziona male ed è usato solo per le centinaia di (in)utili plugin esistenti. Per tutto il resto Opera, Safari e altri sono decisamente più veloci, più reattivi, migliori.
    Uso Firefox solo se costretto, altrimenti preferisco IE7, Safari o Camino.
    non+autenticato
  • - Scritto da: Sgabbio PDL

    > Firefox s'è diffuso troppo, funziona male ed è
    > usato solo per le centinaia di (in)utili plugin
    > esistenti.

    Tu credi veramente in quello che hai scritto?
  • - Scritto da: tino

    > Perchè Safari?

    Perché sei sviluppatore e vuoi serve sapere come funziona un sito su Safari.

    A parte questo, io, con tutto che ritengo WebKit un engine molto interessante, su Windows uso Firefox. A Safari mancano estensioni a sufficienza per competere con Firefox, un'interfaccia coerente con Windows ed un filtro anti-phishing.
    FDG
    11017
  • Perché renderizza le pagine alla velocità della luceA bocca aperta
    non+autenticato
  • ...la nightly build di webkit avesse già la famosa falla corretta da tempo.
    FDG
    11017
  • D'accorco ma safari non è webkit.
    Immagino che correggere una falla su webkit e riportala su safari non sia così immediato.
    Comunque la cosa importante è che sia stata corretta.
    non+autenticato
  • non è che usare webkit al posto di safari sia cosa impossibile...sbaglio?
    non+autenticato
  • Suppongo che safari abbia un integrazione con os x non presente in webkit.
    Non mi sono mai interessato particolarmente a safari anche se lo ritengo, nella versione os x, un ottimo browser.
    non+autenticato
  • - Scritto da: next
    > Suppongo che safari abbia un integrazione con os
    > x non presente in webkit.

    Temo la supposta(*) sia sbagliata.









    (*) citazione cinematografica... indovina quale?
    FDG
    11017
  • - Scritto da: FDG

    > Temo la supposta(*) sia sbagliata.
    > (*) citazione cinematografica... indovina quale?

    Dovrebbe essere Totò, ma non ricordo il film...

    ho vinto quaccheccosa? A bocca aperta
  • la tua frase la possiamo paragonare a questa:

    osx--->ferrari
    safari--->testarossa

    non è che usare il motore della testarossa al posto della testarossa sia impossibile?

    direi che è abbastanza illogica come frase...
    non+autenticato
  • Safari non è integrato come IE al sistema operativo.
    Sgabbio
    26177
  • - Scritto da: Sgabbio
    > Safari non è integrato come IE al sistema
    > operativo.

    no sbagliato... safari e' una specie di frontend ... webkit e' il framework che osx usa per il rendering del codice html/javascript, lo usa per dashboard, per mail.app per il rendering della guida in linea e per il vocabolario e chi sa dio quanto altro...

    si puo' scaricare e usare la nightly build del webkit.framework e usare un applicazione chiamata "impropriamente" webkit.app per richiamare una sessione di safari che usa il webkit aggiornato, ma dashboard e il resto continuano ad usare quello ufficiale
    non+autenticato
  • - Scritto da: bibop

    > si puo' scaricare e usare la nightly build del
    > webkit.framework e usare un applicazione chiamata
    > "impropriamente" webkit.app per richiamare una
    > sessione di safari che usa il webkit aggiornato,
    > ma dashboard e il resto continuano ad usare
    > quello ufficiale

    Infatti. Anche su windows WebKit può essere installato, ma solo dopo aver installato Safari.

    Io personalmente uso WebKit.app (così sono più preciso) e non Safari.
    FDG
    11017
  • Mah...
    Su windows mettere safari è come bloccarlo...windows non il browser!
    Sarà anche migliorato ma non riesce certo a eguagliare ne Opera ne Firefix 3....
    Ma la cosa più bella è il premio per chi scopre e risolve le falle...
    Della serie "noi non ne tr4oviamo ma se le trovate voi, ecco il malloppo!" Se lo facesse ms fallirebbe!
    In una settimana?



    NO IN MEZZ'ORA! ^______^!
    non+autenticato
  • > Della serie "noi non ne tr4oviamo ma se le
    > trovate voi, ecco il malloppo!" Se lo facesse ms
    > fallirebbe!
    > In una settimana?
    >
    >
    >
    > NO IN MEZZ'ORA! ^______^!

    Veramente era una gara di acquisizione di controllo della macchina a cui partecipava anche un pc con Vista che ha resistito 24 ore contro due minuti scarsi del Mac. Se segui il link nell'articolo è raccontato tutto. A meno che (e i Mac user saranno propensi ad accettare questa ipotesi) non fosse un concorso truccato per screditare il Mac a favore di Windows Vista, e ancora di più di Ubuntu che ha resistito 24 ore indenne agli attacchi.
    non+autenticato
  • - Scritto da: Mr. Pink
    > Ubuntu che ha resistito 24 ore
    > indenne agli
    > attacchi.

    non è che ha resistito, è stato volutamente ignorato dai contendenti.
    non+autenticato
  • - Scritto da: Mr. Pink
    > Veramente era una gara di acquisizione di
    > controllo della macchina a cui partecipava anche
    > un pc con Vista che ha resistito 24 ore contro
    > due minuti scarsi del Mac. Se segui il link
    > nell'articolo è raccontato tutto. A meno che (e i
    > Mac user saranno propensi ad accettare questa
    > ipotesi) non fosse un concorso truccato per
    > screditare il Mac a favore di Windows Vista, e
    > ancora di più di Ubuntu che ha resistito 24 ore
    > indenne agli
    > attacchi.

    E se avessi letto bene la notizia e tutti i commenti alla stessa sapresti anche che quello che ha bucato macos si era preparato da un sacco di tempo cercando vulnerabilità ben prima che iniziasse il concorso per potersi agiudicare il premio prima di tutti ed entro le giornate che gli avrebbero fruttato di più. Come vedi la cosa assume un aspetto nettamente differente spiegata così.
    non+autenticato
  • > E se avessi letto bene la notizia e tutti i
    > commenti alla stessa sapresti anche che quello
    > che ha bucato macos si era preparato da un sacco
    > di tempo cercando vulnerabilità ben prima che
    > iniziasse il concorso per potersi agiudicare il
    > premio prima di tutti ed entro le giornate che
    > gli avrebbero fruttato di più. Come vedi la cosa
    > assume un aspetto nettamente differente spiegata
    > così.

    E' ovvio quello che dici! Come si può pensare che a un concorso del genere avessero partecipato persone non preparate? Un exploit non lo tiri fuori dal cappello per magia, ma questo velava per tutti i S.O. in gioco.

    Quanto poi al prendere gli sfoggi di dietrologia presenti nei commenti come fonte di verità assoluta. I bachi che piaccia o no ci sono dappertutto.
    non+autenticato
  • infatti quello di safari lo hanno preparato per ben 1 settimana...
    non+autenticato
  • - Scritto da: Trolled

    > infatti quello di safari lo hanno preparato per
    > ben 1
    > settimana...

    Però la gente legge "bucato in due minuti" e pensa che questo voglia dire che OS X si buchi con estrema facilità.
    -----------------------------------------------------------
    Modificato dall' autore il 19 aprile 2008 18.17
    -----------------------------------------------------------
    FDG
    11017
  • - Scritto da: FDG

    > Però la gente legge "bucato in due minuti" e
    > pensa che questo voglia dire che OS X si buchi
    > con estrema facilità.

    Ed è esattamente quello che è successo.
    Ovviamente è stato fatto da gente preparata a farlo.
    Un po' come dire che che Asafa Powell ci ha messo solo 9 secondi e 47 decimi a percorrere 100 metri. Solo che si allenava da anni.
    Tempo fa su Quattroruote fu pubblicato un test per vedere quale macchina si scassinava in minor tempo. La peggior macchina risultò essere (se non ricordo male) la Daewoo Matiz che addirittura rcichiedeva minor tempo ad essere scassinata che ad essere aperta con le chiavi. Ma per fare questo test coinvolsero persone che facevano questo per "lavoro" (si, proprio dei ladri d'auto), non il ragioniere della contabilità della rivista.
    Ergo, la macchina è stata bucata in due minuti da una persona che, ovviamente, aveva studiato il modo di farlo, magari per mesi, magari per anni, non ha importanza.
    L'importante è aver scoperto la falla ed averla tappata.
    Del resto credo che i 10.000$ di premio non siano per la Apple una cifra deficitaria. Certamente costa molto di più un reparto Ricerca e Sviluppo che ha lo stesso scopo.
    Salutoni
  • Ho pensato anche io che fosse per scredita os x.
    Immaginavo proprio questo risultato windows, considerato e percepito come il più insicuro, batte os x.
    Ovviamente linux si salva.
    Però non capisco una cosa perchè ammetto di non aver letto completamente l'articolo della gara.
    L'exploit è avvenuto tramite safari che è una applicazione come tante altre compresa nel sistema operativo.
    Linux si trova in tantissime configurazioni non essendoci una sola distribuzione.
    Quindi non ho capito, hanno testato la sicurezza del sistema operativo o delle sue applicazioni perchè mi sembrano due cose ben diverse..
    non+autenticato
  • hanno testato l'OS e dato che da remoto non hanno ottenuto risultati, il 2░ giorno hanno allentato le condizioni permettendo di mettere mano sul PC...dai cui la possibilità di lanciare safari
    non+autenticato
  • Appunto ma safari è un applicazione come tante.
    Se volevano fare una cosa più rapida avrebbero potuto chiedere di lanciare quicktime... si sarebbero divertiti di più!
    non+autenticato