SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

11 jun 2009

Segu-Info » , , » Apple Safari: más de 50 vulnerabilidades resueltas

Apple Safari: más de 50 vulnerabilidades resueltas

11 jun 2009, 10:11:00 p.m.   2 comentarios
  , ,  
Apple publicó un enorme paquete de actualizaciones para el navegador Safari que soluciona más de 50 vulnerabilidades, algunas calificadas como extremadamente críticas.

Los últimos arreglos, disponibles en el nuevo Safari 4.0, corrigen una amplia gama de vulnerabilidades de ejecución de código y denegación de servicio e incluso viene con un arreglo para el irritante bug de “clickjacking” que padecen los navegadores Web modernos.

[ Vea: Demo de Secuestro de Webcam destaca la amaenaza del clickjacking]

Varios ejemplos de pruebas de concepto de clickjacking, también conocido como URI redressing, muestran como los clics en una página Web pueden en verdad aplicar clics en partes de la página invisible para el usuario final. Es un problema que afecta a la mayoría de los navegadores Web y parece que Apple está sacando un arreglo para los usuarios de Mac y de Windows.

  • WebKit (CVE-2009-1681): Existe un problema de diseño en el mencanismo de la polítca de mismo-origen que se usa para limitar las interacciones entre sitios web. Esta política permite a los sitios web cargar páginas de sitios web de terceros en un subframe. Este frame puede ser posicionado para seducir al usuario para hacer clic en un elemento particular dentro del frame, un ataque conocido como “clickjacking”. Un sitio web preparado maliciosamente podría se capaz de manipular a un usuario para hacerlo tomar una acción imprevista, tal como comenzar una compra. Esta actualización se ocupa del tema mediante la adopción del estandar de la industria, la extensión de encabezado ‘X-Frame-Options’, que permite a las páginas web individuales optar por no se mostradas dentro de un subframe.

La última actualización de Safari también arregla cinco problemas documentados de ejecución de código en CoreGraphics (todos podrían llevar a ataques de toma de poseción del equipo); un problema de ImageIO que podría ser explotado mediante imágenes PNG preparadas especialmente; 5 fallas en libxml; y una variedad de vulnerabilidades de WebKit que afectan a Safari tanto en sistemas Mac como Windows.

Autor: Ryan Naraine
Fuente: Blogs ZDNet
Traducción de Raúl Batista para Segu-Info



Suscríbete a nuestro Boletín

2 comentarios:

  1. Juan Barra12 de junio de 2009 a las 12:27 a.m.

    se refieren al Safari 4 beta? porque el 3 todavia se esta actualizando, no veo en la pagina oficial que este el 4, en español al menos...veo en en ingles si esta, estoy suscrito al boletin de apple y no me ha llegado nada, jeje, saludos y gracias por la info :)

    ResponderBorrar
  2. - Raúl -15 de junio de 2009 a las 10:27 p.m.

    Hola Juan,

    El Safari 4 está disponible en Apple para descargar, para Windows y para Mac y no dice que sea Beta.
    http://support.apple.com/downloads/Safari_4

    Además en referencia a la nota podés ver actualizaciones de seguridas en http://support.apple.com/kb/HT1222 donde figuran para versiones 3.x 4 beta y 4.0.

    Saludos.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!