Home > Notícias

Apple corrige falha que deu US$ 10 mil a analista em concurso

Falha no WebKit foi explorada por Charlie Miller durante o CanSecWest, há três semanas, e lhe deu acesso ao MacBook Air.

IDG News Service/EUA

17/04/2008 às 16h29

Foto:

A Apple divulgou nesta quinta-feira (17/04) uma atualização de segurança para o Safari, corrigindo a falha que permitiu a um analista ganhar dez mil dólares no concurso CanSecWest. 

A falha foi explorada por Charlie Miller, analista da Independent Security Evaluators, e lhe deu acesso ao MacBook Air. Ela estava no mecanismo de renderização HTML open-source WebKit usado pelo Safari e por outros aplicativos do Mac OS X.

O bug estava relacionado à forma como o WebKit processava alguns comandos JavaScript alterados. Para se beneficiar da falha, Miller teve que fazer com que os organizadores do concurso visitassem um site específico que continha códigos JavaScript maliciosos. 

Outro vencedor no concurso, Shane Macaulay, analista da consultoria Security Objectives, invadiu uma máquina com o Vista, por meio de um bug do Adobe Flash Player corrigido na semana passada.

O WebKit também é parte do painel da Apple e do software de e-mails. Um porta-voz da empresa não soube dizer se usuários desses produtos também corriam risco.

Em uma entrevista feita por e-mail, Miller disse que qualquer máquina que usasse uma versão antiga do WebKit estava vulnerável. “Isso inclui navegadores do Linux e navegadores de celulares”, ele afirmou.
++++
Outra falha no WebKit, corrigida na quarta-feira (16/04), dava acesso a um ataque do tipo cross-site scripting (CSS), no qual crackers podem roubar senhas do computador, por exemplo.

As versões de Safari tanto do Windows quanto do Mac OS X estão vulneráveis às falhas do WebKit, segundo a Apple.

A atualização 3.1.1 do Safari também inclui correções de falhas do Safari-para-Windows, que permitem que um cracker rode softwares desautorizados no computador e crie um site falso para phishing.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail