• Tweet

Dos semanas antes de lanzar un concurso Pwn20wn de hacking de navegadores en Vancouver, Columbia Británica, Apple Inc. parchó ayer 16 vulnerabilidades de Safari, 12 de ellas errores críticos que podrían ser utilizados para secuestrar una máquina.

Apple actualizó Safari para Mac OS X y Windows a la versión 4.0.5, reforzando el navegador antes de ser lanzado al ring contra Microsoft Internet Explorer, Mozilla Firefox y Chrome de Google en el reto de hacking Pwn2Own de este año.

El organizador del concurso ha previsto en la conferencia de seguridad CanSecWest que Safari sería el primero en caer ya que los investigadores pelearán por $ 40,000 en premios en dinero a partir del 24 de marzo.

La última vez que Apple actualizó Safari fue en noviembre de 2009, cuando siete errores fueron corregidos con la versión 4.0.4.

De acuerdo al aviso emitido por Apple, las tres cuartas partes de las vulnerabilidades - 12 de las 16 – tienen la etiqueta de Apple de "ejecución de código arbitrario", es decir, las fallas son críticas y podrían ser explotadas para comprometer un Mac o una máquina Windows. A diferencia de otros proveedores, como Microsoft y Oracle, Apple no asigna un ranking para la amenaza de los errores que descubre.

Nueve de los 16 defectos parchados el jueves fueron en el motor de navegación de código abierto WebKit que constituye el fundamento de Safari, seis sólo afectaron la versión para Windows, que funciona en XP, Vista y Windows 7. De la media docena de vulnerabilidades en Windows sólo cuatro fueron en el componente de E/S de imagenes y pueden ser desencadenados especialmente por diseños TIFF o archivos de imagen BMG al ser visualizados en Safari.

Dos de los 16 fueron reportados a Apple por rivales del navegador. Billy Rios, investigador de errores del explorador que trabajó en VeriSign y que ahora está en el equipo de investigación de vulnerabilidades de Microsoft (MSVR), se acreditó la identificación de uno de los defectos sólo para Windows, Robert Swiecki de Google encontró una de las vulnerabilidades del WebKit.

Las correcciones al WebKit pueden ser oportunas. El mes pasado, Aaron Portnoy, líder del equipo de investigación en seguridad de la unidad 3Com Corp"s TippingPoint, patrocinador de Pwn2Own, apuesta a que Safari se derrumbará en el concurso, en parte porque está construido "en el notoriamente defectuoso WebKit”.

En 2008 y 2009, el investigador Charlie Miller hackeó una Mac en minutos en Pwn2Own mediante la explotación de una vulnerabilidad no actualizada de Safari.

Safari 4.0.5 incluye también mejoras en estabilidad para plugins no especificados provenientes de terceros para el navegador, mejoras de rendimiento para la característica Top Sites que muestra a los usuarios los dominios que visita con más frecuencia, y correcciones de errores no relacionados con la seguridad que afectan la forma en que el navegador administra la configuración del router y funcionamiento con Internet del paquete iWork, basado en un sitio para compartir documentos.

Safari es actualmente el cuarto navegador en el mundo, según la compañía de medición web NetApplications.com, después de ser desplazado hacia abajo un lugar por Chrome a finales de 2009.

Safari 4.0.5 se puede descargar desde el sitio de Apple para Mac OS X 10.4 (Tiger), Mac OS X 10.5 (Leopard), Mac OS X 10.6 (Snow Leopard), Windows XP, Windows Vista y Windows 7. Los usuarios de Mac OS X serán notificados de la nueva versión automáticamente por las característica de actualización de software del sistema operativo, mientras que los usuarios de Windows que ya están ejecutando Safari serán informados por la herramienta Apple Software Update.