Apple ha publicado una actualización de seguridad para su navegador Safari (versiones 5.1 y 5.0.6 para Windows) que solventa múltiples vulnerabilidades que podrían ser aprovechadas por un atacante remoto para lograr el compromiso de los sistemas afectados.

Esta actualización corrige un total de 57 vulnerabilidades, 47 de ellas podrían permitir a un atacante remoto ejecutar código arbitrario.

Una de las vulnerabilidades corregidas, permitía mostrar en la barra de direcciones una URL diferente a la que en realidad estaba siendo visitada. Curiosamente, el navegador Google Chrome también se vio afectado por este problema en marzo. El CVE de la vulnerabilidad es CVE-2011-1107.

El lector de PDF con el que cuenta Safari, no se libra tampoco de los parches. A través de la vulnerabilidad CVE-2011-0202, que permitía provocar una denegación del servicio y, potencialmente, ejecutar código arbitrario a través de un fichero PDF con una fuente especialmente manipulada.

El resto de las vulnerabilidades podrían hacer que el navegador dejase de funcionar, dar lugar a ataques de cross site scripting, o revelación de información sensible, como posiciones de la memoria del heap (CVE-2011-0195) o información de la libreta de direcciones (CVE-2011-0217).

Se recomienda a los usuarios actualizar inmediatamente a esta nueva versión desde http://www.apple.com/safari/download/.

Javier Rascón
 jrascon@hispasec.com

FUENTE :http://www.hispasec.com/unaaldia/4652