【51CTO.com 3月15日外電頭條】距離在溫哥華開幕的Pwn2Own黑客大賽只有不到兩個星期了，為了避免再次出現(xiàn)去年那樣的尷尬，Apple一口氣為Safari瀏覽器打上了16個安全補丁，其中包括了12個可能被攻擊者用來劫持計算機的嚴重安全漏洞。

上一次Apple更新Safari還是去年11月的事，當時4.0.4版本的Safari移除了7個漏洞，而通過這次的補丁，Apple正式將Mac OS X版和Windows版的Safari瀏覽器升級到4.0.5版，并且準備迎戰(zhàn)即將在今年3月24日CanSecWest安全大會上開始的Pwn2Own大賽。Safari將和微軟的IE、Mozilla的Firefox以及Google的Chrome一起走上擂臺，眾多黑客們將為了4萬美元的獎金而展開挑戰(zhàn)，但根據(jù)大賽組織者的預計，Safari仍將是第一個被擊敗的。

根據(jù)Apple發(fā)布的公告，有四分之三的漏洞（16個中的12個）屬于Apple標注的“管制代碼執(zhí)行（arbitrary code execution）”類別，這意味著這些漏洞都是關鍵的，黑客可能會利用這些漏洞攻入Mac或Windows計算機。關于漏洞的級別，Apple與微軟和Oracle等其他廠商不同，并沒有給發(fā)現(xiàn)的漏洞定義威脅排名。

在得到修補的16個漏洞中，有9個是關于開源的WebKit瀏覽器引擎的，這是Safari的基礎所在。有6個漏洞只會影響到Safari的Windows版本，包括XP、Vista和Windows 7。在這6個Windows版本的漏洞中，4個是Image IO 組件的問題，可能會在Safari渲染一些特制的TIFF或BMG圖像文件時觸發(fā)。——51CTO王文文：很囧的事情是，作為WebKit的曾經(jīng)主導者，Apple近期的修補速度已經(jīng)落后于Google。而Google的開發(fā)人員也表示，目前Google對WebKit開源項目的貢獻量已經(jīng)是最大。

16個漏洞中的兩個是由Safari瀏覽器的競爭對手報告給Apple的。曾任職于VeriSign但現(xiàn)在身為微軟漏洞研究（MSVR）團隊的瀏覽器漏洞專業(yè)研究人員Billy Rios發(fā)現(xiàn)了Windows版的一個漏洞并報告給Apple，而另一位來自Google的研究人員Robert Swiecki 發(fā)現(xiàn)了WebKit的一個漏洞。

Apple對WebKit引擎的修復工作來的非常及時。就在上個月，Pwn2Own的贊助商3Com TippingPoint的安全研究團隊組長Aaron Portnoy還和人打賭說Safari會在大賽中崩潰，而很大一部分原因就是因為它是建立在“眾所周知的充滿bug的WebKit上”。

在2008年和2009年的Pwn2Own中，研究人員Charlie Miller都在幾分鐘之內就通過未修補的Safari漏洞成功的入侵了Mac計算機。

Safari 4.0.5在其他方面的更新還包括在未指定的第三方瀏覽器插件的穩(wěn)定性方面的增強，對用來顯示用戶經(jīng)常訪問的域名的熱門網(wǎng)站（Top Sites）功能的改進，以及修復了關于瀏覽器處理路由設置和基于Web文件與iWork套件協(xié)作共享網(wǎng)站等非安全性的漏洞。

根據(jù)網(wǎng)絡分析機構NetApplications.com的調查統(tǒng)計，在2009年底被Chrome追上后，Safari的市場份額在目前幾大網(wǎng)絡瀏覽器中已經(jīng)排到了第四位。

Safari 4.0.5現(xiàn)在可以從Apple的網(wǎng)站上下載了，分別包括Mac OS X 10.4（Tiger）、Mac OS X 10.5（Leopard）和Mac OS X 10.6（Snow Leopard）；Windows XP、Windows Vista和Windows 7版本。Mac OS X操作系統(tǒng)的軟件更新功能將會自動提示Safari新版本的下載，而已經(jīng)使用Safari的Windows用戶會從Apple軟件更新工具中得到通知。

51CTO王文文：經(jīng)過連續(xù)兩年的打擊，Apple的Safari團隊已經(jīng)被安全問題搞的風聲鶴唳?？偛荒苊看纬鰜矶际堑谝粋€被干掉吧？看看Google Chrome，明明是用著和自己一樣的Webkit引擎，在比賽中居然可以全身而退。這真是一件讓人尷尬的事情。2010年3月24號即將臨近，讓我們看看他們的修補效果究竟如何。這一次的攻破時間，是幾秒，還是幾分鐘，還是幾小時？

原文標題：Apple plugs 16 holes in Safari as Pwn2Own looms 作者：Gregg Keizer

【51CTO.COM 獨家翻譯，轉載請注明出處及譯者！】

【編輯推薦】

1. 2010年Pwn2Own黑客大賽將開戰(zhàn) 高額獎金與0day引入入勝
2. 黑客日薪一萬二 IT企業(yè)受苦難
3. 2010年全球最酷的20家云安全廠商你知道幾家？
4. Google的云計算，你真的安全嗎？
5. 利用HTTP-only Cookie緩解跨站點腳本攻擊