Apple dicht Safari-gaten, vooral op Windows
Apple heeft patches uitgebracht voor Safari die lekken dichten op het eigen OS X (Leopard en Snow Leopard) en vooral op Windows. Beveiligingsbedrijf Vupen spreekt van een groot aantal kritieke gaten.
De patches zijn verpakt in twee verschillende Safari-downloads. De ene is voor de oudere Mac OS X-versie 10.5 (Leopard), en brengt de Apple-browser op versie 5.0.6. De andere download is voor Windows (XP, Vista en 7) en voor OS X 10.6 (Snow Leopard). Deze patch brengt de Apple-browser op versie 5.1.
Lion al gefixt
Apple heeft de patches tegelijk uitgebracht met OS X 10.7 (Lion). Die nieuwste versie van het Mac-besturingssysteem heeft de nieuwe Safari-versie al in zich, meldt Apple in de release notes over de Safari-patches.
De twee updates voor Safari dichten een reeks beveiligingsgaten. Het Franse beveiligingsbedrijf Vupen stelt in een tweet dat het om een groot aantal kritieke gaten gaat. In de release notes valt inderdaad een waslijst aan te dichten lekken te vinden. Volgens Apple's indeling zijn er 23 fixes, maar in sommige gevallen schaart het bedrijf een hele lading lekken onder één noemer.
Vooral Windows
Een deel van de gaten zit in de open source browser-engine WebKit, die ook dienst doet in Google's browser Chrome. Een aantal van die lekken zijn ontdekt en aan Apple gemeld door het Chrome Security-team van Google. Daarnaast noemt Apple bij de opsomming van gaten diverse andere security-experts, waaronder ook medewerkers van Microsoft.
Terwijl alle fixes in de Safari-patches van toepassing zijn op de Windows-uitvoering van die browser, geldt dat niet voor de OS X-uitvoering. Een groot aantal van de te dichten gaten zit alleen in Safari op Windows. De drie verschillende, ondersteunde Windows-versies (XP met service pack 2, Vista en 7) gaan daarbij wel gelijk op; alle gaten zitten in alledrie die versies. Apple heeft al de nummer één positie voor lekken op Windows overgenomen van Java-maker Oracle.
Malwaregevaar
Het gaat in 12 van de 23 fixes om lekken die kwaadwillenden in staat stellen om eigen, kwaadaardige code uit te voeren op de computer van de slachtoffers. Bij 3 stuks is er het gevaar van cross-site scripting. Enkele andere lekken geven persoonlijke informatie van gebruikers vrij aan websites die specifieke malware draaien. In 1 geval is er sprake van de mogelijkheid om een ander webadres weer te geven in de Safari-adresbalk dan de eigenlijk bezochte site. Dit maakt phishingaanvallen mogelijk.
Bron: Webwereld.nl