Apple ha actualizado su navegador Safari, arreglando un montón de defectos WebKit explotables en varias versiones de Safari.
WebKit es el motor básico de diseño encargado de mostrar páginas web en el navegador Safari.
En un primer boletín, las vulnerabilidades descubiertas por Apple, resuelven varios problemas de corrupción de memoria en Webkit. En los sistemas sin parches, un atacante podría aprovechar CVE-2015-1152, CVE-2015-1153 y CVE-2015-1154 obligando a un usuario para que visite una página web maliciosa, que, a su vez, podría provocar la finalización inesperada de la aplicación o ejecución de código arbitrario. Apple resolvió el problema con un mejor manejo de la memoria. Las correcciones están disponibles para OS X Mountain Lion v10.8.5, OS X Mavericks y OS X v10.9.5 Yosemite v10.10.3.
El segundo boletín resuelve sólo una vulnerabilidad CVE-2015-1155, que fue descubierto por Joe Vennix de Rapid7 junto con investigadores de Zero Day Initiative de HP. Las fallas surgieron de un problema de gestión de estados en Safari que permite orígenes sin privilegios para acceder a los contenidos del sistema de archivos. Esta era explotable si un usuario se ve obligado a visitar una página web especialmente creada, tras lo cual el atacante podría acceder a la información del sistema de archivos. Apple resolvió esto en OS X Mountain Lion v10.8.5, OS X Mavericks y OS X v10.9.5 Yosemite v10.10.3 mediante la mejora de la gestión de estados.
El boletín final, CVE-2015-1156, reportado por Zachary Durber de Moodle, resuelve un problema en la forma en que los atributos rel se manejan en los elementos de anclaje. Objetos de destino podrían obtener acceso no autorizado a objetos de vínculo, lo que lleva a la suplantación de interfaz, si un atacante obligó a su víctima a visitar un sitio web malicioso. Apple solucionó el problema mediante la implementación de un mejor tipo de enlace de la adherencia en OS X Mountain Lion v10.8.5, OS X Mavericks y OS X v10.9.5 Yosemite v10.10.3.
Los detalles completos de los parches de Apple se pueden encontrar en el sitio de soporte de Apple.
 |
| Fuente: ThreatPost |
En un primer boletín, las vulnerabilidades descubiertas por Apple, resuelven varios problemas de corrupción de memoria en Webkit. En los sistemas sin parches, un atacante podría aprovechar CVE-2015-1152, CVE-2015-1153 y CVE-2015-1154 obligando a un usuario para que visite una página web maliciosa, que, a su vez, podría provocar la finalización inesperada de la aplicación o ejecución de código arbitrario. Apple resolvió el problema con un mejor manejo de la memoria. Las correcciones están disponibles para OS X Mountain Lion v10.8.5, OS X Mavericks y OS X v10.9.5 Yosemite v10.10.3.
El segundo boletín resuelve sólo una vulnerabilidad CVE-2015-1155, que fue descubierto por Joe Vennix de Rapid7 junto con investigadores de Zero Day Initiative de HP. Las fallas surgieron de un problema de gestión de estados en Safari que permite orígenes sin privilegios para acceder a los contenidos del sistema de archivos. Esta era explotable si un usuario se ve obligado a visitar una página web especialmente creada, tras lo cual el atacante podría acceder a la información del sistema de archivos. Apple resolvió esto en OS X Mountain Lion v10.8.5, OS X Mavericks y OS X v10.9.5 Yosemite v10.10.3 mediante la mejora de la gestión de estados.
El boletín final, CVE-2015-1156, reportado por Zachary Durber de Moodle, resuelve un problema en la forma en que los atributos rel se manejan en los elementos de anclaje. Objetos de destino podrían obtener acceso no autorizado a objetos de vínculo, lo que lleva a la suplantación de interfaz, si un atacante obligó a su víctima a visitar un sitio web malicioso. Apple solucionó el problema mediante la implementación de un mejor tipo de enlace de la adherencia en OS X Mountain Lion v10.8.5, OS X Mavericks y OS X v10.9.5 Yosemite v10.10.3.
Los detalles completos de los parches de Apple se pueden encontrar en el sitio de soporte de Apple.
