Firma Apple udostępniła kolejną poprawkę dla swojej przeglądarki internetowej Safari dla systemów Windows. Naprawione zostało w niej większość błędów, które sprawiały, że nie nadawała się ona do użytku dla użytkowników systemów Windows w innych niż angielska wersjach językowych.
O pierwszym wydaniu testowym przeglądarki firmy Apple dla systemów Windows XP i Vista pisaliśmy już wcześniej w artykule "Safari w Windows? Dziękujemy, poczekamy... - http://www.idg.pl/news/113519.html". W polskim systemie operacyjnym nie nadawała się ona do użytku, gdyż niepoprawnie wyświetlała większość odwiedzanych witryn, czy też nie pozwalała zarządzać zakładkami.
Pierwsza poprawka ( pisaliśmy o niej w artykule "Apple łata Safari dla Windows - http://www.idg.pl/news/113962.html" ) usuwała luki w bezpieczeństwie, które zostały odkryte zaraz po premierze przeglądarki. Kolejna, najnowsza łatka - 3.0.2 - usuwa kolejne cztery luki oraz naprawia błędy w interfejsie użytkownika, jak choćby niedziałające wcześniej zakładki. Poprawiono także bardzo wstrętny błąd powodujący złe wyświetlanie tekstów na nie angielskojęzycznych systemach operacyjnych. Wreszcie witryny prezentują się dobrze.Wśród usuniętych błędów w zabezpieczeniach przeglądarki znalazły się między innymi:
- luka w WebCore ( CVE-2007-2401 - http://www.securityfocus.com/bid/24598 ), która spowodowana była błędem w XMLHTTPRequest pozwalającym na "wstrzykiwanie" ( injection ) treści podczas serializacji nagłówków do żądania HTTP. Wykorzystanie tego błędu przez złośliwie spreparowaną witrynę mogło spowodować atak _ cross-site scripting _ - http://pl.wikipedia.org/wiki/cross-site_scripting.
- błąd ( CVE-2007-2399 - http://www.securityfocus.com/bid/24597 ), tym razem w WebKit, spowodowany błędną obsługą pamięci przy konwersji typów podczas renderowania ramek. Użytkownik odwiedzający złośliwą stronę mógł być narażony nawet na uruchomienie złośliwego kodu.
- błąd ( CVE-2007-2398 ) pozwalający złośliwej witrynie zmieniać zawartość tytułu okna i paska adresu bez załadowania wskazywanej witryny.
- błąd ( CVE-2007-2400 - http://www.securityfocus.com/bid/24599 ) umożliwiający podmianę poprzez JavaScript strony, na którą następuje przekierowanie. Umożliwia on wykonanie ataku _ cross-site scripting _.
Patch for Safari
Szkoda, że obecna wersja nie była pierwszą betą, którą Apple udostępniła szerszemu gronu użytkowników, gdyż jej odbiór byłby na pewno dużo lepszy. Najnowszą wersję testową można pobrać ze strony producenta - http://www.apple.com/safari/download/ lub automatycznie zaktualizować w przypadku posiadanie wcześniejszej wersji Safari.
Oficjalna witryna Safari - http://www.apple.com/safari/.
