距離在溫哥華開幕的Pwn2Own黑客大賽只有不到兩個(gè)星期了，為了避免再次出現(xiàn)去年那樣的尷尬，Apple一口氣為Safari瀏覽器打上了16個(gè)安全補(bǔ)丁，其中包括了12個(gè)可能被攻擊者用來劫持計(jì)算機(jī)的嚴(yán)重安全漏洞。

上一次Apple更新Safari還是去年11月的事，當(dāng)時(shí)4.0.4版本的Safari移除了7個(gè)漏洞，而通過這次的補(bǔ)丁，Apple正式將Mac OS X版和Windows版的Safari瀏覽器升級(jí)到4.0.5版，并且準(zhǔn)備迎戰(zhàn)即將在今年3月24日CanSecWest安全大會(huì)上開始的Pwn2Own大賽。Safari將和微軟的IE、Mozilla的Firefox以及Google的Chrome一起走上擂臺(tái)，眾多黑客們將為了4萬美元的獎(jiǎng)金而展開挑戰(zhàn)，但根據(jù)大賽組織者的預(yù)計(jì)，Safari仍將是第一個(gè)被擊敗的。

根據(jù)Apple發(fā)布的公告，有四分之三的漏洞（16個(gè)中的12個(gè)）屬于Apple標(biāo)注的“管制代碼執(zhí)行（arbitrary code execution）”類別，這意味著這些漏洞都是關(guān)鍵的，黑客可能會(huì)利用這些漏洞攻入Mac或Windows計(jì)算機(jī)。關(guān)于漏洞的級(jí)別，Apple與微軟和Oracle等其他廠商不同，并沒有給發(fā)現(xiàn)的漏洞定義威脅排名。

在得到修補(bǔ)的16個(gè)漏洞中，有9個(gè)是關(guān)于開源的WebKit瀏覽器引擎的，這是Safari的基礎(chǔ)所在。有6個(gè)漏洞只會(huì)影響到Safari的Windows版本，包括XP、Vista和Windows 7。在這6個(gè)Windows版本的漏洞中，4個(gè)是Image IO 組件的問題，可能會(huì)在Safari渲染一些特制的TIFF或BMG圖像文件時(shí)觸發(fā)。——51CTO王文文：很囧的事情是，作為WebKit的曾經(jīng)主導(dǎo)者，Apple近期的修補(bǔ)速度已經(jīng)落后于Google。而Google的開發(fā)人員也表示，目前Google對(duì)WebKit開源項(xiàng)目的貢獻(xiàn)量已經(jīng)是最大。

16個(gè)漏洞中的兩個(gè)是由Safari瀏覽器的競(jìng)爭(zhēng)對(duì)手報(bào)告給Apple的。曾任職于VeriSign但現(xiàn)在身為微軟漏洞研究（MSVR）團(tuán)隊(duì)的瀏覽器漏洞專業(yè)研究人員Billy Rios發(fā)現(xiàn)了Windows版的一個(gè)漏洞并報(bào)告給Apple，而另一位來自Google的研究人員Robert Swiecki 發(fā)現(xiàn)了WebKit的一個(gè)漏洞。

Apple對(duì)WebKit引擎的修復(fù)工作來的非常及時(shí)。就在上個(gè)月，Pwn2Own的贊助商3Com TippingPoint的安全研究團(tuán)隊(duì)組長(zhǎng)Aaron Portnoy還和人打賭說Safari會(huì)在大賽中崩潰，而很大一部分原因就是因?yàn)樗�是建立�?ldquo;眾所周知的充滿bug的WebKit上”。

在2008年和2009年的Pwn2Own中，研究人員Charlie Miller都在幾分鐘之內(nèi)就通過未修補(bǔ)的Safari漏洞成功的入侵了Mac計(jì)算機(jī)。

Safari 4.0.5在其他方面的更新還包括在未指定的第三方瀏覽器插件的穩(wěn)定性方面的增強(qiáng)，對(duì)用來顯示用戶經(jīng)常訪問的域名的熱門網(wǎng)站（Top Sites）功能的改進(jìn)，以及修復(fù)了關(guān)于瀏覽器處理路由設(shè)置和基于Web文件與iWork套件協(xié)作共享網(wǎng)站等非安全性的漏洞。

根據(jù)網(wǎng)絡(luò)分析機(jī)構(gòu)NetApplications.com的調(diào)查統(tǒng)計(jì)，在2009年底被Chrome追上后，Safari的市場(chǎng)份額在目前幾大網(wǎng)絡(luò)瀏覽器中已經(jīng)排到了第四位。

Safari 4.0.5現(xiàn)在可以從Apple的網(wǎng)站上下載了，分別包括Mac OS X 10.4（Tiger）、Mac OS X 10.5（Leopard）和Mac OS X 10.6（Snow Leopard）；Windows XP、Windows Vista和Windows 7版本。Mac OS X操作系統(tǒng)的軟件更新功能將會(huì)自動(dòng)提示Safari新版本的下載，而已經(jīng)使用Safari的Windows用戶會(huì)從Apple軟件更新工具中得到通知。

51CTO王文文：經(jīng)過連續(xù)兩年的打擊，Apple的Safari團(tuán)隊(duì)已經(jīng)被安全問題搞的風(fēng)聲鶴唳�？偛荒苊看纬鰜矶际堑谝粋�(gè)被干掉吧？看看Google Chrome，明明是用著和自己一樣的Webkit引擎，在比賽中居然可以全身而退。這真是一件讓人尷尬的事情。2010年3月24號(hào)即將臨近，讓我們看看他們的修補(bǔ)效果究竟如何。這一次的攻破時(shí)間，是幾秒，還是幾分鐘，還是幾小時(shí)？

標(biāo)簽： Google 安全 代碼 漏洞 排名 網(wǎng)絡(luò) 域名

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。