苹果修复Safari备战黑客大赛

    安全研究员今天透露，在下周Pwn2Own黑客大赛开始之前，苹果公司将修复Safari浏览器漏洞。

    在本周早些时候，谷歌和Mozilla为准备Pwn2Own黑客大赛已经发布Chrome 和Firefox安全更新。若没错的话，苹果公司将同样如此。

    周三，苹果修复了其iTunes音乐软件中57个漏洞；其中50个漏洞是由于Safari所基于的开源浏览器引擎WebKit引起的。而iTunes依赖WebKit引擎渲染网络商店组件。

    法国安全公司Vupen在Twitter上发布消息称 “再一次迎战Pwn2Own黑客大赛：苹果修复了WebKit（iTunes）50个漏洞，并且正为Safari / Mac OS X更新做准备。”

     Vupen提到的Pwn2Own指的是网络安全大会CanSecWest每年在加拿大举行的全球黑客大赛。今年的黑客大赛举行时间是3月9日至3月11日。

    在Pwn2Own黑客大赛上，安全研究人员将角逐65000美元奖金，试图拿下最新版本的苹果Safari 5，谷歌的Chrome 9，微软的IE8和Mozilla的Firefox 3.6。

    在发布修补程序前修复WebKit，这对苹果来说并不寻常。在过去，它通常先修复Safari中WebKit漏洞，然后才为iTunes打补丁。

    关于Safari更新的其它线索，来源于惠普TippingPoint—恰巧它是Pwn2Own的赞助商—昨日发布了关于iTunes音乐软件中两个WebKit漏洞补丁的报告。这些漏洞最初是报告给TippingPoint的ZDI零日计划 (Zero Day Initiative) 漏洞奖赏计划的。

    两个报告均表明，攻击者可以利用这个漏洞来“执行苹果WebKit漏洞上的任意代码”并且该漏洞通过“驱动式”方式触发，只需受害者访问一个恶意网站。

    另一个消息来自苹果公司周三发布的iTunes报告，暗示Safari将很快被修复。报告上所列出的50个漏洞中，没有一个采用苹果一贯的描述方法。相反，苹果公司只是标记了CVE（通用漏洞披露）标识和首次发现漏洞的研究员名单。

    假设苹果更新Safar，那么Pwn2Own四个目标浏览器中，只有IE浏览器在比赛前仍然没有打补丁。微软上一次为IE修复漏洞是在2月28号，该漏洞是作为每月周二补丁的一部分。