Apple ha aprovechado el último día del mes de Junio para lanzar una actualización de seguridad para su navegador Safari (versión 3.1.2 para Mac OS X) que solventa una vulnerabilidad que podría ser aprovechada por un atacante remoto para causar una denegación de servicio o ejecutar código arbitrario.
Safari es un popular navegador web desarrollado por Apple, incluido en las sucesivas versiones de Mac OS X y del que también existen versiones oficiales para Windows XP y Vista. Durante los últimos meses se ha ofrecido la descarga de Safari junto con las actualizaciones periódicas de iTunes, el gestor de archivos multimedia de Apple.
Recordamos que la versión 3.1.2 para Windows lleva disponible desde el pasado 19 de Junio. A pesar de que normalmente ambas versiones salen a la vez, en este caso Apple decidió lanzar antes la revisión de su navegador para los sistemas operativos de Microsoft; posiblemente atendiendo a la necesidad de solventar el problema denominado como «Carpet Bomb», en parte debido a la presión ejercida desde la comunidad internacional. Véase, entre otras, la alerta de seguridad publicada por Microsoft en la que se recomendaba «restringir el uso de Safari como navegador web hasta que estuviera disponible una actualización».
La única vulnerabilidad corregida está causada por la forma defectuosa en la que WebKit maneja los arrays JavaScript, lo que podría provocar una corrupción de la memoria. Un atacante remoto podría causar una denegación de servicio y conseguir la ejecución de código arbitrario si un usuario visita con Safari una página web especialmente modificada. Ésta vulnerabilidad es una de las cuatro solventadas en la última actualización de Safari para Windows.
Se recomienda actualizar a la versión 3.1.2 de Safari para Mac OS X disponible a través de las actualizaciones automáticas de Apple, o para su descarga manual desde:
http://www.apple.com/support/downloads/safari312fortiger.html
pmolina@hispasec.com
Deja una respuesta