Apple ha recentemente rilasciato una nuova versione del suo browser sia in versione Windows che per Mac. Per entrambe le versioni vengono corrette moltissime falle che riguardano direttamente il browser o il suo motore di rendering WebKit.

La prima riguarda il file di libreria zlib versione 1.2.2, colpito da diverse vulnerabilità, la più grave delle quali avrebbe potuto portare ad un attacco Denial of Service. Con l’aggiornamento alla versione 1.2.3 le versioni di Windows Vista e Xp non sono più colpite, mentre quella per Mac OS X non soffriva del bug. La seconda, che riguarda solo i sistemi Windows, coinvolgeva la libreria libxslt, che a causa di un Heap buffer overflow permetteva , tramite un file XML appositamente creato, la chiusura dell’applicazione o dell’esecuzione di codice. La terza presentava lo stesso problema, ma l’errore era insito nella libreria CoreGraphics e si attivava con la visione di un’immagine creata ad hoc.

Altre quattro falle riguardano la gestione delle immagini, due quelle che riguardano la tipologia TIFF, una JEPG e l’ultima le immagini in generale. Tutte causano la chiusura dell’applicazione o l’esecuzione di codice arbitrario, sono attivate se si visionano file predisposti e tutte riguardano esclusivamente la versione per Windows.

L’ultima riguarda anche Mac OS X, oltre a Wndows, e coinvolge la progettazione del sistema di gestione dati dei moduli. Il rischio era che malintenzionati potessero carpire informazioni ottenendole dalla cache del browser. Con la nuova progettazione il difetto è scomparso e i dati vengono istantaneamente eliminati dalla cache.

I bug di Webkit riguardano tutte le versioni sul mercato del browser e altri prodotti, come Chrome, che si appoggiano al motore di rendering usato da Apple. La prime due possono causare il crash dell’applicazione oppure l’esecuzione di applicazioni malevole, riguardano il motore javascript e la gestione dei fogli di stile. L’ultima riguarda l’interfaccia grafica dei plug-in cui non era impedito di lanciare URL locali, questo permetteva a siti web maligni di lanciare file locali del computer e ottenere informazioni sensibili sull’utente.

L’aggiornamento è consigliato per tutte le versioni per Safari, ed è possibile tramite l’update automatico presente nell’applicazione oppure tramite il download diretto dal sito ufficiale.