Come già segnalato, ieri Apple ha rilasciato in tempi record Safari Beta 3.0.1 per Windows, primo aggiornamento per la nuova versione del browser ora disponibile per i sistemi operativi Microsoft XP e Vista, integrando la correzione per tre delle vulnerabilità più preoccupanti isolate nel codice del browser giorni fa. Ieri tuttavia è stata segnalata un ulteriore "doppia" vulnerabilità nel codice del prodotto (in totale sono quindi ancora 6 le falle nel browser non ancora corrette).

Tutto questo mentre Apple annuncia in un comunicato che oltre 1 milione di copie di Safari per Windows sono state scaricate nelle prime 48 ore successive all'annuncio, avvenuto lunedì, della disponibilità della beta pubblica gratuita. Pubblicizzato come il browser più veloce per Windows, Safari 3 Beta, come riportato nelle news precedenti, soffre tuttavia di numerose problematiche e bug, non solo di sicurezza, che rimangono ancora irrisolti nonostante l'aggiornamento Safari Beta 3.0.1.

 Safari 3.0.1 Beta: Fix per 3 Falle  -  Safari 3 per Windows: Falle e Bug  -  Altre 

Come riportato nel advisory di Apple (APPLE-SA-2007-06-14), Safari Beta 3.0.1 per Windows correggere: la vulnerabilità (CVE-2007-3186) scoperta e resa pubblica dal ricercatore di sicurezza Thor Larholm a poche ore dalla disponibilità del browser, una falla di "command injection" che può essere sfruttata per eseguire potenzialmente codice arbitrario; la vulnerabilità (CVE-2007-3185) isolata dal ricercatore Aviv Raff, un problema di lettura della memoria "out-of-bound" che può portare alla chiusura inattesa dell'applicazione o eventualmente all'esecuzione di codice arbitrario; ed una falla (CVE-2007-2391) di cross-site scripting causata da una "race condition".

Due giorni fa il ricercatore di sicurezza Robert Swiecki ha segnalato una nuova falla nel codice del browser che permette ad un eventuale attacker di rubare i dati conservati nei cookie sul computer dell'utente attaccato ed eseguire lo spoofing dei contenuti. Swiecki riporta: "Esiste una vulnerabilità in Apple Safari, che permette ad un attacker di rubare un cookie che appartiene al dominio arbitrario e/o di riempire la finestra del browser con contenuti arbitrari, mentre la barra degli indirizzi e il titolo della finestra del browser vengono forniti dal dominio selezionato. La falla risiede nell'implementazione della funzione window.setTimeout() di javascript. Il contenuto della funzione timer-triggered viene processato dopo la modifica della proprietà window.location". Una variante dell'exploit permette di eseguire anche lo spoofing del titolo della finestra e della urlbar. Swiecki ha reso disponibile due PoC agli indirizzi: alt.swiecki.net/safc.html e alt.swiecki.net/saff.html. La falla affligge anche Safari Beta 3.0.1 su Windows ma non Mac OS X.

Il noto ricercatore di sicurezza Michal Zalewski ha commentato sulla mailing list Full Disclosure: "A parte tutti i problemi recentemente segnalati, guardando questo, posso solo chiedermi – sotto quale roccia si sono nascosti gli sviluppatori di Safari negli ultimi 8 anni?. Voglio dire… questo è un tipo di falla che probabilmente non si va neanche a verificare perchè sembra troppo ovvia".

Ricordiamo che non sono solo i problemi di sicurezza ad affliggere il nuovo prodotto beta di Apple. Numerosi utenti hanno infatti segnalato l'impossibilità di utilizzare il browser dopo l'installazione a causa della mancata o sbagliata visualizzazione dei caratteri (menu e contenuti web). Il forum di supporto di Apple è ingolfato da thread relativi a questa problematica. Per il momento non sembra esserci un workaround universalmente efficace o ufficiale. Secondo quanto riportato da un ingegnere di Apple il problema sembra affliggere gli utenti che hanno numerosi caratteri installati nel sistema (>850) e l'azienda sta già lavorando per fornire una soluzione. Per il momento gli utenti che hanno incontrato il problema dei caratteri "sbagliati" sono riusciti a risolvere eseguendo una di queste due procedure non ufficiali: Link 1 – Link 2. Altri problemi di crash ed errori affliggono invece gli utenti non-US, con crash in accesso ai segnalibri, errori legati al mancato caricamento di risorse importanti per il software, e la mancata visualizzazione dei caratteri in grassetto. Ulteriori problemi sono stati segnalati dagli MVP Michael Schwarz e Michael Ruminer.