Обновлено: Safari 3.0: максимум багов, минимум безопасности

Как бы то ни было, появление браузера Safari на ПК – событие само по себе знаменательное, даже если не рассматривать шансы разработки Apple на успех среди конкурентов. Видимо, именно поэтому IT-сообщество даже бета-версию подвергает тщательнейшему изучению, в первую очередь – на предмет наличия достойного уровня безопасности и защищенности от атак. Однако здесь Apple не смогла продемонстрировать достойный пример для подражания – уже в первый день после появления Safari сторонними специалистами были выявлены более полудюжины уязвимости, три из которых могут привести к удаленному захвату контроля над системой. Исследователи утверждают, что Apple "спустя рукава" относится к безопасности браузера и не желает сотрудничать с пользователями. 

Обновлено: Safari 3.0: максимум багов, минимум безопасности

Первым специалистом, начавшим активное изучение ошибок браузера, стал Дэвид Мэйнор (David Maynor) из Errata Security, который опубликовал сообщение о первом баге спустя 2 часа после появления бета-версии. К концу дня Мэйнор насчитал уже шесть багов. По его словам, четыре могли привести к зависанию браузера или системы, а оставшиеся две позволяли удаленно запускать на исполнение произвольный код. Мэйнор отмечает, что обнаруженные им ошибки в равной степени относятся как к Windows, так и к Mac OS X. Другие уязвимости были обнаружены датскими и израильскими специалистами. На загрузочной странице бета-версии браузера говорится, что Safari разработан, чтобы "быть безопасным с первого дня". Бета-версия никак не подтверждает эти слова, видимо "первый день" Safari 3.0 еще не настал.

Обновление:

Спустя несколько дней после того, как весь мир узнал, что продукты Apple далеко не всегда представляют собой идеал безопасности, компания выпустила обновленную версию Safari 3.01, устраняющую три уязвимости безопасности, касающихся Windows и не затрагивающих Mac OS X. Устранена возможность запуска произвольных команд с помощью файла CMD.EXE, "залатана" ошибка, ведущая к переполнению буфера обмена и закрыта уязвимость, позволявшая совершать межсайтовый скриптинг – метод атаки, производящий вывод конфиденциальной информации. Пользователи Windows XP и Vista могут найти обновление здесь. Как сообщает Apple, бета-версию Safari скачало более 1 млн человек. Неизвестно, сколько среди них пользователей Mac OS X и Windows, но если последние окажутся чрезмерно обеспокоены своей безопасностью, серверам Apple придется выдержать значительную нагрузку.

©  TechLabs