距离在温哥华开幕的Pwn2Own黑客大赛只有不到两个星期了,为了避免再次出现去年那样的尴尬,Apple一口气为Safari浏览器打上了16个安全补丁,其中包括了12个可能被攻击者用来劫持计算机的严重安全漏洞。
上一次Apple更新Safari还是去年11月的事,当时4.0.4版本的Safari移除了7个漏洞,而通过这次的补丁,Apple正式将Mac OS X版和Windows版的Safari浏览器升级到4.0.5版,并且准备迎战即将在今年3月24日CanSecWest安全大会上开始的Pwn2Own 大赛。Safari将和微软的IE、Mozilla的Firefox以及Google的Chrome一起走上擂台,众多黑客们将为了4万美元的奖金而展开挑战,但根据大赛组织者的预计,Safari仍将是第一个被击败的。
根据Apple发布的公告,有四分之三的漏洞(16个中的12个)属于Apple标注的“管制代码执行(arbitrary code execution)”类别,这意味着这些漏洞都是关键的,黑客可能会利用这些漏洞攻入Mac或Windows计算机。关于漏洞的级别,Apple与微软和Oracle等其他厂商不同,并没有给发现的漏洞定义威胁排名。
在得到修补的16个漏洞中,有9个是关于开源的WebKit浏览器引擎的,这是Safari的基础所在。有6个漏洞只会影响到Safari的 Windows版本,包括XP、Vista和Windows 7。在这6个Windows版本的漏洞中,4个是Image IO 组件的问题,可能会在Safari渲染一些特制的TIFF或BMG图像文件时触发。——51CTO王文文:很囧的事情是,作为WebKit的曾经主导者,Apple近期的修补速度已经落后于Google。而Google的开发人员也表示,目前Google对WebKit开源项目的贡献量已经是最大。
16个漏洞中的两个是由Safari浏览器的竞争对手报告给Apple的。曾任职于VeriSign但现在身为微软漏洞研究(MSVR)团队的浏览器漏洞专业研究人员Billy Rios发现了Windows版的一个漏洞并报告给Apple,而另一位来自Google的研究人员Robert Swiecki 发现了WebKit的一个漏洞。
Apple对WebKit引擎的修复工作来的非常及时。就在上个月,Pwn2Own的赞助商3Com TippingPoint的安全研究团队组长Aaron Portnoy还和人打赌说Safari会在大赛中崩溃,而很大一部分原因就是因为它是建立在“众所周知的充满bug的WebKit上”。
在2008年和2009年的Pwn2Own中,研究人员Charlie Miller都在几分钟之内就通过未修补的Safari漏洞成功的入侵了Mac计算机。
Safari 4.0.5在其他方面的更新还包括在未指定的第三方浏览器插件的稳定性方面的增强,对用来显示用户经常访问的域名的热门网站(Top Sites)功能的改进,以及修复了关于浏览器处理路由设置和基于Web文件与iWork套件协作共享网站等非安全性的漏洞。
根据网络分析机构NetApplications.com的调查统计,在2009年底被Chrome追上后,Safari的市场份额在目前几大网络浏览器中已经排到了第四位。
Safari 4.0.5现在可以从Apple的网站上下载了,分别包括Mac OS X 10.4(Tiger)、Mac OS X 10.5(Leopard)和Mac OS X 10.6(Snow Leopard);Windows XP、Windows Vista和Windows 7版本。Mac OS X操作系统的软件更新功能将会自动提示Safari新版本的下载,而已经使用Safari的Windows用户会从Apple软件更新工具中得到通知。
51CTO王文文:经过连续两年的打击,Apple的Safari团队已经被安全问题搞的风声鹤唳。总不能每次出来都是第一个被干掉吧?看看 Google Chrome,明明是用着和自己一样的Webkit引擎,在比赛中居然可以全身而退。这真是一件让人尴尬的事情。2010年3月24号即将临近,让我们看看他们的修补效果究竟如何。这一次的攻破时间,是几秒,还是几分钟,还是几小时?