Apple ha aggiornato la versione per Windows del suo browser Safari risolvendo quattro vulnerabilità di sicurezza, una delle quali era stata oggetto di pesanti critiche. Microsoft stessa, tre settimane fa (ved. questa notizia), aveva invitato gli utenti a sospendere l’utilizzo del browser di Apple. L’allerta di Microsoft sembrò confermare quanto riportato nelle settimane precedenti da “StopBadware”, organizzazione nata con l’obiettivo di frenare la diffusione di componenti software pericolosi (lanciata da Google con il supporto di Sun e Lenovo in qualità di sponsor). Anche secondo il colosso di Redmond, gli aggressori potrebbero trarre vantaggio dal fatto che Safari non dispone di un’opzione che permetta di richiedere all’utente conferma all’atto del prelevamento di un file. I malintenzionati potrebbero quindi far leva sulla “lacuna” popolando una pagina web “maligna” con software dannosi che verrebbero così automaticamente memorizzati sul sistema dell’utente.
Con il rilascio odierno di Safari 3.1.2, Apple corregge il problema battezzato “carpet bomb” dal suo scopritore Nitesh Dhanjani (ved. questa notizia), ritornando quindi sui suoi passi. La nuova versione del browser di Apple d’ora in poi informerà sempre l’utente prima di avviare il download di un file. La cartella predefinita all’interno della quale vengono memorizzati i file prelevati con Safari, inoltre, diventa la directory “Downloads” in Windows Vista e “Documenti” in Windows XP.
Due dei restanti bug risolti da Apple potrebbero facilitare, come confermato dalla stessa società di Cupertino, l’esecuzione di codice nocivo in modalità remota. “Se un sito web è inserito tra i profili di Internet Explorer 7 ed Internet Explorer 6 che consentono massima libertà (area dei “Siti attendibili” od “Intranet locale”), Safari eseguirà automaticamente i file prelevati da tali siti”, ha spiegato Apple che ha comunicato di aver corretto questo comportamento.
Le altre vulnerabilità sanate sono collegate ad un’incorretta gestione delle immagini in formato GIF e BMP nonché di codice Javascript “maligno”.
Safari 3.1.2 per Windows è prelevabile da questa pagina. La versione per Mac OS X non è stata invece aggiornata.