Así es, Apple por fin acaba de parchar una vulnerabilidad de su navegador que le hizo ganar a un investigador de seguridad la suma de 10 mil dólares en la conferencia de seguridad CansecWest.


Shane Macaulay en la conferencia CansecWest

La falla fue explotada por el investigador independiente de seguridad, Charlie Miller, que obtuvo acceso a la computadora MacBook Air tres semanas atrás. Esta falla se encuentra en el WebKit de código abierto en el motor de HTML que es usado por Safari y muchos otros programas de la Mac OS X.

El bug reside en la manera como el Webkit procesa ciertos comandos especiales de Javascript previamente preparados. Con el fin de explotar esta vulnerabilidad, Miller invitó primero a los organizadores del concurso a visitar una página web especial que contenía código malicioso en Javascript.

Hubo otro ganador en la competencia PWN2OWN de la conferencia CansecWest (que tenía como objetivo vulnerar los tres sistemas operativos: Windows, Mac y Linux), se trata de Shane Macaulay, un investigador de la consultoría Secutiry Objectives, que hackeó una máquina con Windows Vista instalado usando un bug existente en el Flash Player de Adobe, el cual parchó la semana pasada.

Webkit también forma parte del Dashboard de Apple y de su sistema de software. Un portavoz de Apple no pudo afirmar si los usuarios de Apple también se encuentran propensos a este ataque.

En una entrevista vía email, Miller dijo que nada que utilice alguna de las versiones anteriores del Webkite sería vulnerable. Esto podría incluir a los navegadores de Linux y los teléfonos móviles, afirmó.

Vía: Techworld