Apple ha publicado una actualización de seguridad para
su navegador Safari (versiones 8.0.1, 7.1.1 y 6.2.1) para OS X que solventa 13
nuevas vulnerabilidades que podrían ser aprovechadas por un atacante remoto
para extraer datos, falsificar la interfaz de usuario, provocar denegaciones de
servicio o lograr el compromiso de los sistemas afectados.
Safari es un
popular navegador web desarrollado por Apple, incluido en las sucesivas
versiones de Mac OS X y del que también existen versiones oficiales para
Windows 7, XP y Vista.
Recursos afectados
- Esta actualización afecta a las
versiones de Safari para OS X Mountain Lion v10.8.5, OS X Mavericks
v10.9.5 y OS X Yosemite v10.10.1.
Detalle de la actualización
- Todas las vulnerabilidades
están relacionadas con problemas en WebKit, el motor de navegador de
código abierto que es la base de Safari. Una vulnerabilidad (con
CVE-2014-4465) consiste en que un SVG cargado en un elemento img puede
cargar un archivo CSS con origen cruzados. Lo que podría permitir la
extracción de datos. Otro problema en el tratamiento de límites de las
barras de desplazamiento podría permitir la falsificación de la interfaz
de usuario (CVE-2014-1748).
- Por último, las 11
vulnerabilidades restantes están relacionadas con problemas de corrupción
de memoria en WebKit y podrían ser aprovechadas por un atacante remoto
para provocar condiciones de denegación de servicio o ejecutar código
arbitrario al visitar una página web específicamente creada. Los CVE
asociados a estas vulnerabilidades son: CVE-2014-4452, CVE-2014-4459,
CVE-2014-4466 y del CVE-2014-4468 al CVE-2014-4475.
Recomendación
- Se
recomienda actualizar a las versiones 8.0.1, 7.1.1 o 6.2.1 de Safari para
Mac OS X disponible a través de las actualizaciones automáticas de Apple,
o para su descarga manual desde: http://support.apple.com/downloads/#safari
Más
información:
- About the security content of Safari 8.0.1,
Safari 7.1.1, and Safari 6.2.1 http://support.apple.com/en-gb/HT6596