Apple ha reso disponibile il secondo aggiornamento per il suo nuovo browser Safari 3 Beta, versione Safari Beta 3.0.2, per Windows e Mac, integrando numerosi ed attesi miglioramenti e fix nel codice del prodotto. La nuova versione, distribuita in queste ore tramite la funzione "Apple Software Update" a tutti i clienti, e disponibile al download manuale sul sito ufficiale, introduce nuovi aggiornamenti di protezione a correzione di varie vulnerabilità scoperte recentemente nel browser, miglioramenti in stabilità, e soprattutto numerosi bugfix, per la visualizzazione del testo, per i sistemi non in inglese e per le performance di avvio.

Secondo quanto riportato nell'advisory APPLE-SA-2007-06-22 per Safari 3 Beta Update 3.0.2, la nuova versione corregge quattro nuove vulnerabilità di sicurezza, due nel codice del browser, una nella componente WebCore e una in WebKit. La prima falla corretta (CVE-2007-2398) è relativa al problema di sicurezza segnalato in una news precedente e svelato dal ricercatore Robert Swiecki. Il problema poteva consentire ad un sito malintenzionato di controllare i contenuti della barra degli indirizzi del browser. Si trattava di un problema di timing che poteva essere sfruttato per lo spoofing della barra degli indirizzi senza caricare i contenuti della pagina corrispondente. Questo poteva portare ad attacchi di spoofing di siti legittimi con possibilità di rubare le credenziali dell'utente o altre informazioni sensibili. L'aggiornamento corregge il problema ripristinando il contenuto della barra se viene terminata la richiesta di caricamento di una nuova pagina. Il problema non affligge il sistema Mac OS X.

 Safari 3 Beta: Nuova Falla Spoofing  -  Safari 3.0.1 Beta: Fix per 3 Falle  -  Altre 

La seconda vulnerabilità (CVE-2007-2400) risolta in Safari 3 Beta 3.0.2, affligge invece sia Mac OS X (v10.4.9 e successivi) sia Windows XP e Vista. Il problema è relativo ad una falla di cross-site scripting. Il modello di sicurezza di Safari impedisce al codice JavaScript in pagine web remote modificare altre pagine fuori da quel dominio. Una race condition nel sistema di aggiornamento delle pagine combinata con una reindirizzamento HTTP, poteva permette al codice JavaScript presente in una pagina di modificare una pagina in redirect. L'aggiornamento corregge il controllo di accesso alle proprietà della finestra.

La terza falla (CVE-2007-2401) corretta interessa invece la componente WebCore (su Mac OS X e Windows) e riguarda un problema di HTTP injection in XMLHttpRequest durante il serializing degli header in una richiesta HTTP. Un sito malintenzionato e programmato ad arte poteva condurre attacchi di cross-site scripting sfruttando il bug. L'aggiornamento introduce ulteriori verifiche dei parametri header. L'ultima falla riportata dall'advisory (CVE-2007-2399) riguarda WebKit (su Mac OS X e Windows) e poteva provocare la chiusura non prevista del browser o consentire l'esecuzione di codice in modalità remota. Il problema risiedeva in un bug nel rendering dei frame che poteva portare alla corruzione della memoria

A parte i fix di sicurezza, Safari 3 Beta 3.0.2 introduce un gran numero di bugfix che vanno a correggere la maggior parte delle problematiche che finora hanno vessato il prodotto di Apple impedendo in molti casi agli utenti di utilizzare il browser dopo l'installazione a causa della mancata o sbagliata visualizzazione dei caratteri (menu e contenuti web). Sembrano definitivamente corrette le problematiche con la visualizzazione del testo e gli altri crash ed errori che affliggevano gli utenti non-US, come i crash in accesso ai segnalibri, gli errori legati al mancato caricamento di risorse importanti per il software, e la mancata visualizzazione dei caratteri in grassetto.


Alla luce dei miglioramenti introdotti incoraggiamo tutti gli utenti che desiderano provare il nuovo browser di Apple su Windows a scaricare ed installare la nuova versione Safari 3 Beta 3.0.2.