【51CTO.com 3月15日外電頭條】距離在溫哥華開幕的Pwn2Own黑客大賽只有不到兩個星期了，為了避免再次出現去年那樣的尷尬，Apple一口氣為Safari瀏覽器打上了16個安全補丁，其中包括了12個可能被攻擊者用來劫持計算機的嚴重安全漏洞。

上一次Apple更新Safari還是去年11月的事，當時4.0.4版本的Safari移除了7個漏洞，而通過這次的補丁，Apple正式將Mac OS X版和Windows版的Safari瀏覽器升級到4.0.5版，并且準備迎戰即將在今年3月24日CanSecWest安全大會上開始的Pwn2Own大賽。Safari將和微軟的IE、Mozilla的Firefox以及Google的Chrome一起走上擂臺，眾多黑客們將為了4萬美元的獎金而展開挑戰，但根據大賽組織者的預計，Safari仍將是第一個被擊敗的。

根據Apple發布的公告，有四分之三的漏洞（16個中的12個）屬于Apple標注的“管制代碼執行（arbitrary code execution）”類別，這意味著這些漏洞都是關鍵的，黑客可能會利用這些漏洞攻入Mac或Windows計算機。關于漏洞的級別，Apple與微軟和Oracle等其他廠商不同，并沒有給發現的漏洞定義威脅排名。

在得到修補的16個漏洞中，有9個是關于開源的WebKit瀏覽器引擎的，這是Safari的基礎所在。有6個漏洞只會影響到Safari的Windows版本，包括XP、Vista和Windows 7。在這6個Windows版本的漏洞中，4個是Image IO 組件的問題，可能會在Safari渲染一些特制的TIFF或BMG圖像文件時觸發?！?1CTO王文文：很囧的事情是，作為WebKit的曾經主導者，Apple近期的修補速度已經落后于Google。而Google的開發人員也表示，目前Google對WebKit開源項目的貢獻量已經是最大。

16個漏洞中的兩個是由Safari瀏覽器的競爭對手報告給Apple的。曾任職于VeriSign但現在身為微軟漏洞研究（MSVR）團隊的瀏覽器漏洞專業研究人員Billy Rios發現了Windows版的一個漏洞并報告給Apple，而另一位來自Google的研究人員Robert Swiecki 發現了WebKit的一個漏洞。

Apple對WebKit引擎的修復工作來的非常及時。就在上個月，Pwn2Own的贊助商3Com TippingPoint的安全研究團隊組長Aaron Portnoy還和人打賭說Safari會在大賽中崩潰，而很大一部分原因就是因為它是建立在“眾所周知的充滿bug的WebKit上”。

在2008年和2009年的Pwn2Own中，研究人員Charlie Miller都在幾分鐘之內就通過未修補的Safari漏洞成功的入侵了Mac計算機。

Safari 4.0.5在其他方面的更新還包括在未指定的第三方瀏覽器插件的穩定性方面的增強，對用來顯示用戶經常訪問的域名的熱門網站（Top Sites）功能的改進，以及修復了關于瀏覽器處理路由設置和基于Web文件與iWork套件協作共享網站等非安全性的漏洞。

根據網絡分析機構NetApplications.com的調查統計，在2009年底被Chrome追上后，Safari的市場份額在目前幾大網絡瀏覽器中已經排到了第四位。

Safari 4.0.5現在可以從Apple的網站上下載了，分別包括Mac OS X 10.4（Tiger）、Mac OS X 10.5（Leopard）和Mac OS X 10.6（Snow Leopard）；Windows XP、Windows Vista和Windows 7版本。Mac OS X操作系統的軟件更新功能將會自動提示Safari新版本的下載，而已經使用Safari的Windows用戶會從Apple軟件更新工具中得到通知。

51CTO王文文：經過連續兩年的打擊，Apple的Safari團隊已經被安全問題搞的風聲鶴唳。總不能每次出來都是第一個被干掉吧？看看Google Chrome，明明是用著和自己一樣的Webkit引擎，在比賽中居然可以全身而退。這真是一件讓人尷尬的事情。2010年3月24號即將臨近，讓我們看看他們的修補效果究竟如何。這一次的攻破時間，是幾秒，還是幾分鐘，還是幾小時？

原文標題：Apple plugs 16 holes in Safari as Pwn2Own looms 作者：Gregg Keizer

【51CTO.COM 獨家翻譯，轉載請注明出處及譯者！】

【編輯推薦】

1. 2010年Pwn2Own黑客大賽將開戰 高額獎金與0day引入入勝
2. 黑客日薪一萬二 IT企業受苦難
3. 2010年全球最酷的20家云安全廠商你知道幾家？
4. Google的云計算，你真的安全嗎？
5. 利用HTTP-only Cookie緩解跨站點腳本攻擊