Apple heeft een nieuwe update voor de Safari browser uitgebracht, die ruim 80 beveiligingslekken verhelpt, waaronder een defecte 'pornoknop'. De meeste kwetsbaarheden bevinden zich in de Webkit-engine, die ook door Chrome wordt gebruikt. Het is dan ook niet verwonderlijk dat veel lekken door het Google Security Team zijn ontdekt en onderzoekers die aan het Chrome beloningsprogramma meedoen. In tegenstelling tot Google Chrome is het bij veel van de lekken in Safari wel mogelijk om willekeurige code uit te voeren. De Windows-versie van de browser beschikt bijvoorbeeld niet over een sandbox die dit voorkomt.
Verder is ook een probleem met de 'pornoknop' opgelost. Het gaat hier om de Private Browsing optie, die ervoor zorgt dat de browser het surfgedrag niet opslaat. Door een fout in Safari werd de surfgeschiedenis toch bewaard, ook al was Private Browsing ingeschakeld. Het probleem werd ontdekt door een onderzoeker van American Express.
Tevens is een probleem met de International Domain Name (IDN) ondersteuning in Safari opgelost. Hierdoor zou een kwaadaardige website een gebruiker naar een gespoofte website kunnen doorsturen, die op een legitiem domein lijkt. Dit probleem speelde alleen bij de Windows-versie.
Google
Onlangs werd bekend dat Google stiekem Safari-gebruikers had gevolgd door een cookie-truc te gebruiken. Safari blokkeert standaard cookies van derden, maar de zoekgigant wist dat te omzeilen. Hoewel Google de truc niet meer zou toepassen, heeft Apple het probleem ook in de browser opgelost. Daardoor zouden third-party sites geen cookies meer moeten kunnen plaatsen als Safari is ingesteld om ze te blokkeren, iets wat standaard het geval is.
Dat het inloggen op een website over HTTP niet verstandig is, is al geruime tijd duidelijk. Een opgelost lek in Safari maakt dat nogmaals duidelijk. Als een website HTTP authenticatie gebruikte en een redirect naar een andere website had, zouden de inloggegevens naar deze site gestuurd kunnen worden. Gebruikers van Safari krijgen het advies om naar 5.1.4 te upgraden.
Deze posting is gelocked. Reageren is niet meer mogelijk.