Come riportato ieri, Apple ha rilasciato in occasione del WWDC 2007, una beta pubblica di Safari 3, nuova versione del suo browser, introducendo il supporto per la piattaforma Windows (XP e Vista). Sembra tuttavia che il prodotto rilasciato in beta pubblica presenti ancora numerosi bug che hanno impedito in queste ore a molti utenti di eseguire il browser e testarlo in maniera appropriata. Secondo notizie ancora più preoccupanti, che stanno facendo il giro della rete in queste ore, Safari per Windows è affetto da varie vulnerabilità di sicurezza che espongono gli utenti del browser ad attacchi di "esecuzione codice" e denial of service. I bug di sicurezza sono stati verificati a quanto pare anche nella versione "production" di OSX (Safari 2.0.4).

 WWDC 07: Leopard, Safari, iPhone 

Gli esperti di sicurezza hanno impiegato poche ore per scoprire in Safari 3 Beta per Windows una serie di bug di sicurezza, un totale di 6 bug in un solo pomeriggio (4 DoS e 2 RCE). David Maynor, ingegnere di Errata Security, ha reso pubblica la prima vulnerabilità di corruzione della memoria nella giornata di ieri, fornendo anche alcuni screenshot del tool di fuzzing usato per mandare in crash il browser di Apple e del dump della memoria del software. Anche il ricercatore di sicurezza Thor Larholm ha pubblicato, a poche ore dalla disponibilità del browser un articolo dettagliato sul suo blog, svelando una vulnerabilità classificabile come "protocol handler command injection" che permette esecuzione di codice da remoto.

Larholm spiega: "Un browser include normalmente una moltitudine di protocolli di schemi differenti di URL, alcuni dei quali sono gestiti da funzioni interne mentre altri sono gestiti da applicazioni esterne. Sulla piattaforma OS X, Apple ha goduto degli stessi vantaggi e problemi visti in Internet Explorer su piattaforma Windows, cioè di una intima conoscenza del sistema operativo. L'integrazione con il sistema operativo per cui è stato progettato è chiaramente stretta, ma questa grande conoscenza viene resa vana nel momento in cui il software è rilasciato per un altro sistema e si verificano errori e problemi … Quando Apple ha rilasciato Safari per Windows non ha implementato un livello appropriato di verifica degli input per questi argomenti, il che significa che è possibile violare i confini previsti e fare danni". Nel caso specifico Safari non verifica in maniera corretta l'input di determinate richieste se queste vengono passate tramite gli elementi IFRAME. Questo, spiega Larholm, è sufficiente per realizzare un attacco contro l'intera gamma di gestori di protocollo URL di Windows. Nel suo proof-of-concept Larholm mostra un attacco exploit che sfrutta il vecchio protocollo gopher: che nell'esempio viene gestito esternamente dal browser Firefox. In questo caso un attacker può facilmente eseguire comandi arbitrari, passando input non filtrati per l'argomento –chrome esposto da Firefox ed accedendo quindi a cmd.exe.

Un ulteriore bug di sicurezza è stato isolato dal ricercatore Aviv Raff sempre utilizzando un software di fuzzing, nello specifico Hamachi. Symantec ha già classificato tre dei problemi di sicurezza segnalati tramite SecurityFocus, evidenziando sul blog Security Response che per il momento non si è a conoscenza di tentativi di exploit in-the-wild che mettano a rischio gli utenti. Anche Mcafee e F-secure hanno commentato le vulnerabilità isolate in Safari sui rispettivi blog ufficiali.

Ma non sono solo i problemi di sicurezza ad affliggere il nuovo prodotto beta di Apple. Numerosi utenti hanno infatti segnalato l'impossibilità di utilizzare il browser dopo l'installazione a causa della mancata o sbagliata visualizzazione dei caratteri (menu e contenuti web). Il forum di supporto di Apple si è in poche ore ingolfato di thread relativi a questa problematica. Per il momento non sembra esserci un workaround universalmente efficace o ufficiale. Secondo quanto riportato da un ingegnere di Apple il problema sembra affliggere gli utenti che hanno numerosi caratteri installati nel sistema (>850) e l'azienda sta già lavorando per fornire una soluzione. Per il momento gli utenti che hanno incontrato il problema dei caratteri "sbagliati" sono riusciti a risolvere eseguendo una di queste due procedure non ufficiali: Link 1 – Link 2. Altri problemi di crash ed errori affliggono invece gli utenti non-US, con crash in accesso ai segnalibri o errori legati al mancato caricamento di risorse importanti per il software. Ulteriori problemi sono stati segnalati dagli MVP Michael Schwarz e Michael Ruminer.