Come riportato in una news precedente, Apple Safari 3.0 Beta, nuova versione di testing del browser dell'azienda della Mela lanciata giorni fa anche per Windows, è afflitta da una serie di problemi, bug e preoccupanti falle di sicurezza. In tempi record, Apple ha rilasciato oggi il primo aggiornamento per il browser, Safari Beta 3.0.1 per Windows, distribuito in queste ore tramite la funzione "Apple Software Update" a tutti i clienti, e disponibile al download manuale sul sito ufficiale.

L'aggiornamento integra la correzione per tre delle vulnerabilità più preoccupanti isolate nel codice del browser giorni fa. Sembrano tuttavia ancora irrisolti gli altri numerosi problemi non di sicurezza incontrati dagli utenti Windows e riportati nella news dedicata.

 Safari 3 per Windows: Falle e Bug 

Come riportato nel advisory di Apple (APPLE-SA-2007-06-14), Safari Beta 3.0.1 per Windows correggere la vulnerabilità (CVE-2007-3186) scoperta e resa pubblica dal ricercatore di sicurezza Thor Larholm a poche ore dalla disponibilità del browser. Si tratta di una falla di "command injection" che può essere sfruttata inducendo un utente a visitare una pagina web modifica con scopo nocivo per eseguire potenzialmente codice arbitrario. L'aggiornamento incluso nella nuova versione del browser corregge il problema introducendo funzioni aggiuntive di processing e verifica delle URL. Questo specifico problema di sicurezza, afferma Apple, non affligge i sistemi Mac OS X, potrebbe comunque portare alla chiusura inattesa del browser Safari.

Larholm aveva anche pubblicato un exploit PoC per questa vulnerabilità, spiegando che Safari non verifica in maniera corretta l'input di determinate richieste se queste vengono passate tramite gli elementi IFRAME. Questo, spiegava Larholm, è sufficiente per realizzare un attacco contro l'intera gamma di gestori di protocollo URL di Windows. Larholm ha già commentato sul suo blog la release dell'aggiornamento confermando che il problema di sicurezza è stato corretto. Il ricercatore afferma tuttavia: "Virgolette e spazi vuoti vengono ora filtrati su tutte le richieste alle applicazione esterne di gestione del protocollo URL, ma altri caratteri vengono ancora passati senza filtro quindi prevedo di trovare altre varianti [dell'exploit] abbastanza presto".

Safari Beta 3.0.1 corregge anche la vulnerabilità (CVE-2007-3185) isolata dal ricercatore Aviv Raff utilizzando un software di fuzzing. Si tratta di un problema di lettura della memoria "out-of-bound" che può portare alla chiusura inattesa dell'applicazione o eventualmente all'esecuzione di codice arbitrario, sempre sfruttando un sito web malevolo programmato per lo scopo. La terza ed ultima falla di sicurezza corretta (CVE-2007-2391) in Safari Beta 3.0.1 riguarda un problema di cross-site scripting causata da una "race condition". Sempe inducendo un utente a visitare un sito web ad hoc, un attacker potrebbe sfruttare il bug per accedere ad oggetti JavaScript o per eseguire codice JavaScript arbitrario nel contesto di un'altra pagina web. I sistemi Mac OS X non sono affetti da queste due vulnerabilità.

Ricordiamo che non sono solo i problemi di sicurezza ad affliggere il nuovo prodotto beta di Apple. Numerosi utenti hanno infatti segnalato l'impossibilità di utilizzare il browser dopo l'installazione a causa della mancata o sbagliata visualizzazione dei caratteri (menu e contenuti web). Il forum di supporto di Apple si è in poche ore ingolfato di thread relativi a questa problematica. Per il momento non sembra esserci un workaround universalmente efficace o ufficiale. Secondo quanto riportato da un ingegnere di Apple il problema sembra affliggere gli utenti che hanno numerosi caratteri installati nel sistema (>850) e l'azienda sta già lavorando per fornire una soluzione. Per il momento gli utenti che hanno incontrato il problema dei caratteri "sbagliati" sono riusciti a risolvere eseguendo una di queste due procedure non ufficiali: Link 1 – Link 2. Altri problemi di crash ed errori affliggono invece gli utenti non-US, con crash in accesso ai segnalibri o errori legati al mancato caricamento di risorse importanti per il software. Ulteriori problemi sono stati segnalati dagli MVP Michael Schwarz e Michael Ruminer.