Lo scorso venerdì Apple ha rilasciato un aggiornamento di sicurezza per Safari che, oltre a correggere diverse vulnerabilità, aggiunge al famoso browser nuove e più avanzate funzionalità antiphishing. Tali funzionalità arrivano in risposta alle critiche mosse a Safari da vari content e service provider del Web, tra i quali PayPal : quest’ultima, la scorsa primavera, ha persino suggerito agli utenti di Apple di utilizzare browser più sicuri, come Opera e Firefox.
Come tradizione, la nota di Apple che accompagna il rilascio della nuova versione di Safari è piuttosto parca di dettagli.
“Questo update è raccomandato a tutti gli utenti di Safari, i quali possono beneficiare di protezioni contro i siti fraudolenti di phishing e di una migliore identificazione per le transazioni online”, si legge sul sito della Mela. “Questo aggiornamento include anche gli ultimi aggiornamenti di sicurezza”, per i cui dettagli Apple rimanda a questo advisory .
Safari 3.2 corregge quattro falle di sicurezza in Mac OS X (Tiger e Leopard) e undici falle in Windows XP/Vista. La maggior parte delle debolezze potrebbe essere sfruttata da malintenzionati per causare il crash del browser ed eventualmente eseguire del codice da remoto. Tra le vulnerabilità di questo tipo figurano alcune legate alla gestione di JPEG e TIFF, che possono essere innescate dall’apertura di immagini malformate, ed altre relative alle librerie zlib e libxslt e al componente di sistema CoreGraphics.
Un altro bug, questa volta relativo al motore WebKit, potrebbe invece consentire l’accesso non autorizzato a file e/o informazioni locali.
Per quanto concerne le funzionalità di sicurezza, Safari 3.2 ora fornisce un sistema antiphishing molto simile a quello incluso in altri browser, come Opera e Firefox: quando l’utente visita un sito potenzialmente pericoloso, il browser visualizza un messaggio di avviso che consente all’utente di chiudere la pagina, ignorare l’avvertimento o saperne di più sul phishing. Cliccando quest’ultima voce si viene indirizzati verso una pagina del sito di Google : ciò probabilmente lascia intendere che il sistema antiphishing di Safari 3.2 si appoggi sulla black list di BigG.
Gli utenti possono attivare o disattivare gli avvisi antiphishing dalla scheda Sicurezza nelle preferenze del browser.
Il nuovo Safari è poi in grado di trarre vantaggio dagli Extended Validation Certificate ( EVC ) visualizzando, accanto al lucchetto SSL, il nome del sito a cui il certificato fa riferimento: questo serve per capire se il sito che si sta visitando sia davvero quello che dice di essere. Purtroppo al momento i siti provvisti di EVC rappresentano una piccola minoranza.
Tra le altre misure di sicurezza si cita la cancellazione automatica, dalla cache del browser, dei dati inseriti nei moduli online: questo per evitare che un’eventuale debolezza di Safari possa consentire ad un aggressore di accedere ai dati dell’utente.
Safari 3.2 può essere scaricato attraverso il tool Apple Update o da sito dell’azienda di Cupertino.