Apple heeft een vijftiental bugs verholpen in Safari, ongeveer 24 uur voordat een onderzoeker een van die bugs nader onder de loep zou nemen tijdens de Black Hat security conference.

Naast het verhelpen van de bugs, heeft Apple ook de ‘extensions’ functionaliteit aangezet binnen Safari 5.0.1 en daarnaast een eerste verzameling gebundeld meer dan 100 add-ons bevat die gebruikers voor de browser kunnen downloaden.

Openbaar

Er was vooral veel aandacht voor één specifieke bug in de manier waarop Safari formulieren automatisch kan voorzien van de naam en persoonlijke gegevens van gebruikers. De bug was zeker niet de meest gevaarlijke kwetsbaarheid die door Apple werd verholpen, maar wel de meest nijpende aangezien een onderzoeker de bug vorige week in de openbaarheid gooide.

Kritieke bugs

Jeremiah Grossman, CTO van WhiteHat Security, liet op 21 juli weten dat hackers op kinderlijke wijze namen, adressen, e-mail adressen en werkgevers van gebruikers van Safari konden stelen omdat de browsers de AutoAanvul functie standaard inschakelt en deze koppelt aan de het adresboek item van de gebruiker op de Mac of PC.

Van de 15 kwetsbaarheden die Apple vandaag heeft verholpen, hadden 13 de betrekking op “arbitrary code execution". Een status die het bedrijf doorgaans gebruikt om aan te geven dat bugs als kritiek moeten worden gezien omdat ze gebruikt kunnen worden om de beveiliging van een computer te omzeilen en vervolgens malware op de machine te plaatsen.

Alle 15 bugs vormen gevaar voor zowel de Mac als de PC versie van Safari, een gevaar dat volgens Andrew Storms, director of security operations bij nCircle Security niet onderschat moet worden: “In principe is dit het soort browser bugs waar we de meeste angst voor hebben. Het is het soort aanval waarbij de gemiddelde gebruiker ergens op klikt, en boem, het is meteen game over," aldus Storms tegen Computerworld.com

Drive-by aanvallen

13 van de 15 bugs die vandaag zijn verholpen kunnen daadwerkelijk worden gebruikt voor klassieke drive-by aanvallen, het soort aanval dat geactiveerd wordt wanneer iemand naar een kwaadaardige of gehackte website surft. Deze 13 drive-by bugs bevonden zich allemaal in WebKit, de open-source browser engine die door zowel Apple als Chrome wordt gebruikt als basis voor hun browsers.