Apple ha lanzado una nueva actualizacion para su navegador Safari.
Esta nueva actualizacion solventa un gran número de vulnerabilidades críticas que pueden permitir la ejecución de código malicioso al visitar una página web.
Una parte de ellas sólo afectan a plataformas Windows:
- CFNetwork: contiene vulnerabilidades que permiten tratar contenido de tipo «text/plain» como HTML, ataques de repetición en el protocolo de autenticación NTLM, etc.
- CoreGraphics: desbordamiento de buffer en el manejo de fuentes Type 1 que pueden permitir ejecutar código malicioso al abrir un documento PDF.
- ImageIO: vulnerabilidades en el manejo de imágenes TIFF que permiten ejecutar código malicioso.
- …
Otra conjunto de ellas afectan a plataformas Mac OS X y Windows (Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.8 o posteriores, Mac OS X Server v10.6.8 o posteriores, Windows 7, Vista y XP SP2 o posteriores):
- Safari: vulnerabilidad en la funcionalidad «AutoFill web forms» que permiten la revelación de información y vulnerabilidad de tipo «cross origin» en el manejo de Applets de Java.
- WebKit: problemas de corrupción de memoria que pueden provocar la ejecución de código malicioso o el cuelgue de la aplicación al visitar una página web, vulnerabilidades de tipo «cross origin» en el manejo de Web Workers y en el manejo de URLs con un nombre de usuario embebido, etc.
Impacto:
- Ejecución de código arbitrario al visitar una página web maliciosa.
- Cuelgue de la aplicación.
- Revelación de información.
- Ataques XSS.
Solución
La actualización se instala automáticamente por defecto: al ejecutar el navegador busca nuevas actualizaciones, si las encuentra, muestra una ventana con información acerca de la actualización y de cómo instalarla.
También se puede forzar la instalación de la nueva versión del mismo modo que se haría con el software del sistema operativo.
