A duas semanas de um concurso hacker no Canadá, a Apple decide corrigir 16 vulnerabilidades no Safari, 12 delas críticas a ponto de permitir que um invasor tome o controle da máquina.

Na quinta-feira (11/3), a Apple atualizou o Safari do Mac OS X e do Windows para a versão 4.0.5, reforçando o navegador antes que ele fosse levado ao ringue para enfrentar Internet Explorer, Firefox e Chrome no desafio hackler Pwn2Own.

A organização do concurso havia previsto que o Safari seria o primeiro a cair na luta dos pesquisadores por 40 mil dólares em prêmios. O evento terá início em 24 de março e fará parte da conferência de segurança CanSecWest.

A última vez que a Apple atualizou o Safari foi em novembro de 2009, quando sete bugs foram eliminados com a atualização 4.0.4.

Falhas críticas
De acordo com o aviso da Apple, 12 das 16 vulnerabilidades receberam o selo "execução de código arbitrário". Isso significa que as falhas são críticas e poderiam ser exploradas para comprometer uma máquina Mac ou Windows.

Diferentemente de outros fabricantes, como Microsoft e Oracle, a Apple não usa um ranking de grau de ameaça para classificar seus bugs.

Nove das 16 falhas consertadas na quinta-feira estavam no motor de código aberto WebKit, que compõe o núcleo do navegador Safari; seis afetam apenas a versão Windows, que roda em XP, Vista e Windows 7.

Da meia dúzia de brechas que só afetam a versão para Windows, quatro estavam no componente Image IO e poderiam ser exploradas por arquivos de imagem TIFF e BMG especialmente preparados, no momento de serem renderizados pelo Safari.

Ajuda externa
Dois dos 16 bugs chegaram ao conhecimento da Apple por meio de navegadores rivais. Foi Billy Rios, um pesquisador de bugs de navegador que trabalhou na VeriSign mas que agora está na equipe de Pesquisa de Vulnerabilidades da Microsoft, quem identificou uma das falhas da versão para Windows; Robert Swiecki, do Google, encontrou uma das vulnerabilidades do WebKit.

As correções ao WebKit podem ter vindo a tempo. No mês passado, Aaron Portnoy, líder da equipe de pesquisa em segurança da unidade TippingPoint da 3Com - e patrocinadora da Pwn2Own -, apostou que o Safari iria sucumbir à competição, em parte por ter sido construído com base "no notoriamente defeituoso WebKit".

O Safari 4.0.5 também incluiu melhorias em estabilidade para plug-ins de terceiros, melhorias de performance para o recurso Top Sites (que mostra os domínios que o usuário mais visita), e correções para bugs não relacionados a segurança que afetam o modo como o browser lida com configurações do roteador e trabalha com o site de compartilhamento de documentos na web da suíte iWork.