距離在溫哥華開幕的Pwn2Own黑客大賽只有不到兩個星期了，為了避免再次出現(xiàn)去年那樣的尷尬，Apple一口氣為Safari瀏覽器打上了16個安全補丁，其中包括了12個可能被攻擊者用來劫持計算機的嚴(yán)重安全漏洞。

上一次Apple更新Safari還是去年11月的事，當(dāng)時4.0.4版本的Safari移除了7個漏洞，而通過這次的補丁，Apple正式將Mac OS X版和Windows版的Safari瀏覽器升級到4.0.5版，并且準(zhǔn)備迎戰(zhàn)即將在今年3月24日CanSecWest安全大會上開始的Pwn2Own大賽。Safari將和微軟的IE、Mozilla的Firefox以及Google的Chrome一起走上擂臺，眾多黑客們將為了4萬美元的獎金而展開挑戰(zhàn)，但根據(jù)大賽組織者的預(yù)計，Safari仍將是第一個被擊敗的。

根據(jù)Apple發(fā)布的公告，有四分之三的漏洞（16個中的12個）屬于Apple標(biāo)注的“管制代碼執(zhí)行（arbitrary code execution）”類別，這意味著這些漏洞都是關(guān)鍵的，黑客可能會利用這些漏洞攻入Mac或Windows計算機。關(guān)于漏洞的級別，Apple與微軟和Oracle等其他廠商不同，并沒有給發(fā)現(xiàn)的漏洞定義威脅排名。

在得到修補的16個漏洞中，有9個是關(guān)于開源的WebKit瀏覽器引擎的，這是Safari的基礎(chǔ)所在。有6個漏洞只會影響到Safari的Windows版本，包括XP、Vista和Windows 7。在這6個Windows版本的漏洞中，4個是Image IO 組件的問題，可能會在Safari渲染一些特制的TIFF或BMG圖像文件時觸發(fā)。——51CTO王文文：很囧的事情是，作為WebKit的曾經(jīng)主導(dǎo)者，Apple近期的修補速度已經(jīng)落后于Google。而Google的開發(fā)人員也表示，目前Google對WebKit開源項目的貢獻(xiàn)量已經(jīng)是最大。

16個漏洞中的兩個是由Safari瀏覽器的競爭對手報告給Apple的。曾任職于VeriSign但現(xiàn)在身為微軟漏洞研究（MSVR）團隊的瀏覽器漏洞專業(yè)研究人員Billy Rios發(fā)現(xiàn)了Windows版的一個漏洞并報告給Apple，而另一位來自Google的研究人員Robert Swiecki 發(fā)現(xiàn)了WebKit的一個漏洞。

Apple對WebKit引擎的修復(fù)工作來的非常及時。就在上個月，Pwn2Own的贊助商3Com TippingPoint的安全研究團隊組長Aaron Portnoy還和人打賭說Safari會在大賽中崩潰，而很大一部分原因就是因為它是建立在“眾所周知的充滿bug的WebKit上”。

在2008年和2009年的Pwn2Own中，研究人員Charlie Miller都在幾分鐘之內(nèi)就通過未修補的Safari漏洞成功的入侵了Mac計算機。

Safari 4.0.5在其他方面的更新還包括在未指定的第三方瀏覽器插件的穩(wěn)定性方面的增強，對用來顯示用戶經(jīng)常訪問的域名的熱門網(wǎng)站（Top Sites）功能的改進(jìn)，以及修復(fù)了關(guān)于瀏覽器處理路由設(shè)置和基于Web文件與iWork套件協(xié)作共享網(wǎng)站等非安全性的漏洞。

根據(jù)網(wǎng)絡(luò)分析機構(gòu)NetApplications.com的調(diào)查統(tǒng)計，在2009年底被Chrome追上后，Safari的市場份額在目前幾大網(wǎng)絡(luò)瀏覽器中已經(jīng)排到了第四位。

Safari 4.0.5現(xiàn)在可以從Apple的網(wǎng)站上下載了，分別包括Mac OS X 10.4（Tiger）、Mac OS X 10.5（Leopard）和Mac OS X 10.6（Snow Leopard）；Windows XP、Windows Vista和Windows 7版本。Mac OS X操作系統(tǒng)的軟件更新功能將會自動提示Safari新版本的下載，而已經(jīng)使用Safari的Windows用戶會從Apple軟件更新工具中得到通知。

51CTO王文文：經(jīng)過連續(xù)兩年的打擊，Apple的Safari團隊已經(jīng)被安全問題搞的風(fēng)聲鶴唳。總不能每次出來都是第一個被干掉吧？看看Google Chrome，明明是用著和自己一樣的Webkit引擎，在比賽中居然可以全身而退。這真是一件讓人尷尬的事情。2010年3月24號即將臨近，讓我們看看他們的修補效果究竟如何。這一次的攻破時間，是幾秒，還是幾分鐘，還是幾小時？

標(biāo)簽： Google 安全 代碼 漏洞 排名 網(wǎng)絡(luò) 域名

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。