Apple veröffentlicht Patch für zwei Dutzend Bugs in Safari, einschließlich der Schwachstelle, die letzten Monat bei Pwn2Own ausgenutzt wurde.

Apple hat endlich, wenn auch etwas spät, die Fixes für mehr als zwei Dutzend Bugs im Safari-Webbrowser letzten Dienstag veröffentlicht, einschließlich der Patches für die Schwachstellen, die letzten Monat beim Pwn2Own-Hacking-Wettbewerb ausgenutzt wurden.

Das Unternehmen hat Updates für sowohl Safari 6 als auch 7 veröffentlicht und die neueste Version Safari 6.1.3 und Safari 7.0.3 mit neuen Sicherheitsupdates beworben.

• Die Software-Ingenieure von Apple haben insgesamt 27 Schwachstellen gepatcht, von denen die meisten in WebKit, der Open-Source-Browser-Engine, die Safari antreibt, und alle bis auf eine als kritisch angesehen werden. Die kritische Schwachstelle ermöglicht „willkürliche Codeausführung“, sagte das Unternehmen in einer Pressemitteilung. Die willkürliche Codeausführung kann ausgenutzt werden, um Malware auf dem Computer des Opfers zu injizieren. Eine weitere kritische Schwachstelle, „der Speicherbeschädigungsfehler“, ist in einigen Fällen ebenfalls von hohem Risiko; Cyberkriminelle können diese Schwachstelle ausnutzen, indem sie speziell gestaltete bösartige Websites erstellen, die den Safari-Browser zum Absturz bringen.
• Von den 27 Bugs wurden mehr als die Hälfte vom Sicherheitsteam von Google entdeckt, einschließlich des bemerkenswertesten Bugs, der es einem Hacker ermöglicht, Code im sicheren Sandbox des Browsers auszuführen, um Einschränkungen zu umgehen und beliebige Dateien im System zu lesen. Wenn Sie sich fragen, warum Google daran interessiert war, einen Bug in Apples Software zu finden, liegt das daran, dass sowohl Googles Chrome als auch Safari dasselbe WebCore-Komponente des Open-Source-Webkit verwenden, was bedeutet, dass die entdeckten Bugs ein gemeinsames Übel für sowohl Safari als auch Chrome sind, die den jeweiligen Unternehmen gehören.

Eine andere Gruppe von Bugs, die entdeckt wurden, umfasste die, die letzten Monat beim Pwn2Own-Hacking-Wettbewerb hervorgehoben wurden, einschließlich des Bugs, der einen heap-basierten Pufferüberlauf ermöglichte, der aus der Ferne ausgenutzt werden kann, um einen Sandbox-Schutzmechanismus über einen nicht spezifizierten Vektor zu umgehen. Diese Schwachstelle wurde von Liang Chen, einem Mitglied einer in Shanghai ansässigen Gruppe von Sicherheitsforschern, „Keen Team“, entdeckt und mit einem Prämienpreis von 65.000 $ für die Entdeckung dieses Bugs belohnt.

• Ein weiterer wurde vom französischen Schwachstellenverkäufer Vupen entdeckt, der ebenfalls ein Team zu Pwn2Own geschickt hat. Vupen hackte mehrere Ziele, darunter Chrome, Adobe Reader und Adobe Flash sowie Microsofts Internet Explorer, und gewann eine Belohnung von 400.000 $. Der Bug, der in WebKit gepatcht wurde, ist derselbe, der sowohl von Googles Chrome als auch von Apples Safari verwendet wird, wie oben erwähnt.
• Apple hat den Benutzern geraten, den Patch herunterzuladen oder ihren Browser so schnell wie möglich zu aktualisieren.