Los últimos arreglos, disponibles en el nuevo Safari 4.0, corrigen una amplia gama de vulnerabilidades de ejecución de código y denegación de servicio e incluso viene con un arreglo para el irritante bug de “clickjacking” que padecen los navegadores Web modernos.
[ Vea: Demo de Secuestro de Webcam destaca la amaenaza del clickjacking]
Varios ejemplos de pruebas de concepto de clickjacking, también conocido como URI redressing, muestran como los clics en una página Web pueden en verdad aplicar clics en partes de la página invisible para el usuario final. Es un problema que afecta a la mayoría de los navegadores Web y parece que Apple está sacando un arreglo para los usuarios de Mac y de Windows.
- WebKit (CVE-2009-1681): Existe un problema de diseño en el mencanismo de la polítca de mismo-origen que se usa para limitar las interacciones entre sitios web. Esta política permite a los sitios web cargar páginas de sitios web de terceros en un subframe. Este frame puede ser posicionado para seducir al usuario para hacer clic en un elemento particular dentro del frame, un ataque conocido como “clickjacking”. Un sitio web preparado maliciosamente podría se capaz de manipular a un usuario para hacerlo tomar una acción imprevista, tal como comenzar una compra. Esta actualización se ocupa del tema mediante la adopción del estandar de la industria, la extensión de encabezado ‘X-Frame-Options’, que permite a las páginas web individuales optar por no se mostradas dentro de un subframe.
La última actualización de Safari también arregla cinco problemas documentados de ejecución de código en CoreGraphics (todos podrían llevar a ataques de toma de poseción del equipo); un problema de ImageIO que podría ser explotado mediante imágenes PNG preparadas especialmente; 5 fallas en libxml; y una variedad de vulnerabilidades de WebKit que afectan a Safari tanto en sistemas Mac como Windows.
Fuente: Blogs ZDNet
Traducción de Raúl Batista para Segu-Info
se refieren al Safari 4 beta? porque el 3 todavia se esta actualizando, no veo en la pagina oficial que este el 4, en español al menos...veo en en ingles si esta, estoy suscrito al boletin de apple y no me ha llegado nada, jeje, saludos y gracias por la info :)
ResponderBorrarHola Juan,
ResponderBorrarEl Safari 4 está disponible en Apple para descargar, para Windows y para Mac y no dice que sea Beta.
http://support.apple.com/downloads/Safari_4
Además en referencia a la nota podés ver actualizaciones de seguridas en http://support.apple.com/kb/HT1222 donde figuran para versiones 3.x 4 beta y 4.0.
Saludos.