Home > Notícias

Safari 6.1.4 e 7.0.4 corrigem falhas críticas, mas o iOS ainda está vulnerável

Atualizações corrigem um total de 22 vulnerabilidades, 21 delas com o potencial de permitir a execução remota de código.

Lucian Constantin, Macworld EUA

23/05/2014 às 12h50

Foto:

A Apple lançou novas versões do Safari para o Mac OS X para corrigir vulnerabilidades críticas que poderiam permitir a malfeitores executar código malicioso nos computadores dos usuários. As correções ainda não estão disponíveis para o iOS, que provavelmente é afetado por algumas das mesmas falhas.

O Safari 6.1.4 e 7.0.4 foram lançados nesta quarta-feira para o OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 e OS X Mavericks 10.9.3, e no geral corrigem 22 vulnerabilidades.

21 delas são problemas com corrupção de memória, que poderiam ser explorados para forçar um crash do navegador e executar código arbitrário no sistema quando os usuários visitassem um site malicioso, de acordo com um boletim de segurança publicado pela própria Apple.

Todas as vulnerabilidades recém-corrigidas estão na verdade localizadas no Webkit, o sistema de renderização de conteúdo web no qual o Safari é baseado, e que também é usado no iOS e em outros produtos da Apple.

O WebKit também era usado pelo Google Chrome até a versão 27, quando o navegador passou a usar um “engine” próprio chamado Blink, que ainda é fortemente baseado no Webkit. Isto explica porque a equipe de segurança do Google Chrome e outros “caçadores de bugs” que dedicam sua atenção ao navegador da Google levam o crédito pela descoberta da maioria das novas vulnerabilidades no Safari.

A falta de atualizações de segurança similares para o iOS, que provavelmente é afetado por pelo menos algumas das mesmas vulnerabilidades, pode colocar os usuários desta plataforma em risco.

Kristin Paget, ex-pesquisadora de segurança na Apple, criticou a empresa no mês passado por deixar usuários do iOS expostos durante três semanas a vulnerabilidades no Webkit que há haviam sido corrigidas no Safari 6.1.3 e 7.0.3.

Esta discrepância na correção das mesmas falhas entre produtos diferentes é um problema recorrente para a Apple. Também houve atrasos de mais de dois meses entre a correção de falhas no Safari e no iOS no passado.

Pesquisadores de segurança vem argumentando há longo tempo que é relativamente fácil para um malfeitor fazer a engenharia reversa de um patch e construir uma forma de explorar a vulnerabilidade corrigida, e quando as mesmas falhas estão presentes em produtos que ainda não foram atualizados os riscos são obviamente maiores.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail