Apple lanza un parche para más de dos docenas de errores en Safari, incluida la vulnerabilidad explotada en Pwn2Own el mes pasado.

Apple finalmente, aunque un poco tarde, lanzó las correcciones para más de dos docenas de errores en el navegador web Safari el martes pasado, incluidos los parches para las vulnerabilidades explotadas el mes pasado en el concurso de hacking Pwn2Own.

La compañía lanzó actualizaciones para Safari 6 y 7 y promovió la última versión Safari 6.1.3 y Safari 7.0.3 con nuevas actualizaciones de seguridad incluidas.

• Los ingenieros de software de Apple han parcheado un total de 27 vulnerabilidades, la mayoría de ellas en WebKit, el motor de navegador de código abierto que impulsa Safari, y todas menos una consideradas críticas. La vulnerabilidad crítica permite “ejecución de código arbitrario,” dijo la compañía en un comunicado, la ejecución de código arbitrario puede ser explotada para inyectar malware en la computadora de la víctima. Otra vulnerabilidad crítica “el error de corrupción de memoria” también es de alto riesgo en algunos casos, los ciberdelincuentes pueden explotar esta vulnerabilidad creando un sitio web malicioso especialmente diseñado que hace que el navegador Safari se bloquee.
• Entre las 27, más de la mitad de los errores fueron descubiertos por el equipo de seguridad de Google, incluido el error más notable que permite a un hacker ejecutar código en el sandbox seguro del navegador para eludir restricciones y leer archivos arbitrarios en el sistema. Si te preguntas por qué Google estaba interesado en encontrar un error en el software de Apple, es porque tanto Google Chrome como Safari utilizan el mismo componente WebCore del Webkit de código abierto, lo que significa que los errores que se descubren son un mal común para ambos, Safari y Chrome, pertenecientes a las respectivas compañías.

Otro conjunto de errores descubiertos incluyó aquellos destacados en el concurso de hacking Pwn2Own el mes pasado, incluido el error que permitió un desbordamiento de búfer basado en heap que puede ser explotado de forma remota para eludir un mecanismo de protección de sandbox a través de un vector no especificado. Esta vulnerabilidad fue descubierta por Liang Chen, miembro de un grupo de investigadores de seguridad con sede en Shanghái llamado “Keen Team”, y se le otorgó un premio de recompensa de $65,000 por descubrir este error.

• Otro fue descubierto por el vendedor de vulnerabilidades francés Vupen, que también envió un equipo a Pwn2Own. Vupen hackeó varios objetivos, incluidos Chrome, Adobe Reader y Adobe Flash, y Microsoft Internet Explorer, ganando una recompensa de $400,000. El error parcheado en WebKit es el mismo que se utiliza tanto por Google Chrome como por Apple Safari, como se mencionó anteriormente.
• Apple ha aconsejado a los usuarios que descarguen el parche o actualicen su navegador lo antes posible.