Apple ha actualizado su navegador Safari corrigiendo un conjunto de hallazgos encontrados en WebKit de varias versiones de Safari. WebKit es el motor responsable de desplegar las páginas web en Safari.
El primer boletín de vulnerabilidades descubierto por Apple, resuelve varias localidades de memoria corruptas en WebKit. En sistemas sin actualizar, un atacante puede utilizar los exploits CVE-2015-1152, CVE-2015-1153 y CVE-2015-1154 obligando a un usuario a visitar sitios web maliciosos, los cuales a cambio podrían llevar a terminar inesperadamente la aplicación o a la ejecución de código remoto. Apple resolvió el problema mejorando el manejo de memoria. Las correcciones están disponibles para los sistemas operativos OS X Mountain Lion v10.85, OS X Mavericks v10.9.5 y el OS X Yosemite v10.10.3.
El segundo boletín resuelve solamente una vulnerabilidad, CVE-2015-1155, la cual fue descubierta por Joe Vennix de Rappid7 a través de las investigaciones de la iniciativa de HP Zero-Day. Los hallazgos se detectaron en el manejo de estados de Safari, que permitían a fuentes no privilegiadas acceder al contenido del sistema de archivos. La vulnerabilidad anterior era explotable si un usuario visitaba una página web creada con ese propósito específico, a través de ella, el atacante podía acceder a los sistemas de archivos. Apple resolvío esto en el sistema operativo OS X Mountain Lion v10.8.5, OS X Mavericks v 10.9.5 y OS X Yosemite v10.10.3 por medio del mejoramiento de administración de estados.
El boletín final, CVE-2015-1156, reportado por Zachary Durber de Moodle, resolvió un problema en la forma en que los atributos rel se manejan en los elementos de alojamiento. Los elementos objetivo podrían obtener acceso no autorizado a los objetos de vínculo, conduciendo a la interfaz de suplantación en caso de que un atacante haya obligado a su víctima a visitar el sitio web malicioso. Apple solucionó el problema mediante la implementación de un mejor tipo de enlace de adherencia en OS X Mountain Lion v10.8.5, OS X Mavericks y OS X v10.9.5 Yosemite v10.10.3.
Los detalles completos de Apple pueden ser encontrados en el sitio de soporte de Apple.
Fuente: http://www.seguridad.unam.mx/noticia/
Fecha de consulta: 12 Mayo 2015
