RSS
May 11th, 2010 
干草 hiHay.com Secunia上周发布一个关于Safari浏览器的高危漏洞,它允许攻击者在系统中执行恶意代码。外部窗口的错误使用引起非法指针函数调用,从而引发该漏洞。
安全研究机构发现,利用该漏洞可以在用户访问恶意网页和关闭弹出窗口时得到系统权限。受影响的Safari为安装在Windows上的4.0.5版本,安装在其他操作系统上的其他版本Safari也可能受影响。
Secunia建议用户在苹果公司提供更新之前,不要访问非可信网站。
Safari浏览器在Mac和普通PC上均可使用。Safari 4 增加了诸如完全历史记录搜索、新JavaScript引擎“Nitro”、新Windows用户接口等新特性。
三月Pwn2Own2010回顾:火狐、IE、Safari全挂
历史惊人的相似,继2009年火狐、IE、Safari全挂,Chrome夺冠之后,2010年再次上演的同样的情形,虽然比赛还没有结束,但笔者可以大胆的提前宣布,Chrome这次又要夺冠了。
在比赛即将开始前几天,苹果和谷歌突然大量发放补丁,给本来胸有成足的黑客们来了个措手不及。不过依仗对苹果Safari浏览器的熟悉,黑客天王米勒还是顺利攻破Mac,拿走了1万美元和一个Mac笔记本。
而攻破IE8的这位荷兰黑客,真可谓是一流高手。他面对的原本就是业内认为安全性较高的 Windows 7 加IE8组合(需要击败ASLR 地址空间随机设定和DEP 数据执行保护两大保镖),偏偏攻的还是64位 Windows 7,使比赛的精彩程度再次提高一个档次。
“加载进IE的一个模块给了我基础地址,我用它过了ALSR。然后我又用它过了DEP”,在接受采访时,攻破IE8的 Peter Vreugdenhil 表示。在现场微软技术团队的见证下,这个技术高超的荷兰人顺利拿走1万美元和一台装着 Windows 7 的新电脑。
Nils,这个令人生畏的26岁德国黑客,原本准备好了攻击程序要和米勒抢夺Safari那1万美元,可惜慢了一步。让米勒上演帽子戏法,连续三年大嚼苹果。不过在错失Safari之后,他果断出击,用之前没有公布过的漏洞一举擒住ASLR和DEP保护下的火狐。
Nils说,错误执行的清晰提示让通过Windows保护变的非常容易,而在有ASLR保护的Windows系统上,火狐可以选个更好的做法。
火狐将在3月底发布3.6.2的正式版,不管安全性如何,它那完全开源的态度和高度符合现有国际web标准的技术依然值得尊敬。
Google Chrome 浏览器使用率超苹果Safari
截止2009年底,至少一家公司的统计数字显示,Google浏览器的全球使用率,已经超过苹果的Safari。
NetApplications计算的浏览器使用率,是根据全球网友造访该公司多个取样网站所使用的浏览器。而在12月6日到12日这一周,微软IE和Firefox仍分别位居前两名,第三名竟是 Google Chrome,使用率高达4.4%,略微超过Safari的4.37%。
Google已在8日发布 Chrome for Mac OS X 和 Linux。之前,这两个版本仅供开发者试用。根据Chromium开发日程,Google预备在明年1月12日,发布”stable”版。
不必太严肃看待这些使用率统计。虽然全球使用者的0.03个百分比,代表不少人数,仍只是极小的一部份。而NetApplications在8月份变更其统计方法,也让使用率排名的变化更容易发生。每周的统计数字变化也较大:如Firefox在11月的某一周有高达25%的使用率,当月的平均值却只有 24.72%。
询问多家浏览器厂商,对NetApplications统计数据的可信度有何评价。答案大致正面,但不到为其背书的程度。但不论其细部的准确度为何,Chrome的增长曲线确实是往上走:11月的使用率为3.93%,而Safari是4.36%。
Google最初的在线搜索产品,几乎完全依赖口碑打出名号,而Chrome也要遵循同一途径。最新的作法是:到”Chrome for Christmas”网站,邀请你的亲友下载Chrome。
Firefox证明了不强搭作业系统便车的浏览器也能成功,而Chrome若能持续成长,更显示这种成功不是侥幸。
分类:
标签:
