Apple patcht 27 lekken in Safari

Misbruik kan leiden tot 'remote execution'
De 27 nu gepatchte zwakke plekken zitten zowel in de Mac OS X- als in de Windows-versie van Safari. Exploitatie van 23 van de bugs (85 procent) kan leiden tot het uitvoeren van code op afstand, wat zoveel wil zeggen dat het om ‘kritieke’ lekken gaat. Apple zelf gebruikt geen systeem van prioriteiten om de relatieve zwaarte van een kwetsbaarheid aan te geven.

Bij een niet-gepatchte versie van Safari kunnen aanvallers de pc in hun greep krijgen door de gebruiker naar een kwaadaardige website te lokken. Zonder ook maar iets aan te klikken kan de pc al met malware worden geïnfecteerd, een zogeheten drive-by aanval.

Overige fouten riskant voor privacy
Ook de 4 kwetsbaarheden waar volgens Apple geen kans bestaat op ‘remote execution’ zijn niet ongevaarlijk. Een ervan stelt websites bijvoorbeeld in staat stiekem het surfgedrag van de gebruiker te volgen, zelfs als cookies zijn uitgeschakeld. Een andere fout maakt het mogelijk de URL van een site te vermommen, waardoor phishers meer kans van slagen hebben hun prooi op een nepsite te tracteren en diens persoonlijke gegevens te stelen.

Safari 5.0.3 bevat ook een aantal andere aanpassingen die de stabiliteit, compatibiliteit, toegankelijkheid en bruikbaarheid moeten verbeteren. Apple geeft een toelichting op deze wijzigingen op zijn website.

Automatisch updaten of apart downloaden
Gebruikers kunnen hun machine patchen door versie 5.0.3 van Safari te installeren. Mac-gebruikers worden automatisch op de nieuwe versie geattendeerd. Op een Windows-pc komt de Apple Software Update Tool in actie om het downloaden en installeren na bevestiging door de gebruiker te starten. Safari 5.0.3 kan ook apart worden gedownload.

Apple stelt ook een gepatchte versie 4.1.3 beschikbaar, die geschikt is voor oudere versies van Mac OS X.

Op zijn supportpagina's geeft Apple meer bijzonderheden over de inhoud van de security updates.