O Safari 10.1.1, lançado como parte da atualização de software menor do macOS Sierra 10.12.5 de hoje, corrige mais uma instância de falsificação de barra de endereço. Essa é uma boa notícia, porque agora o navegador pode protegê-lo contra ataques de phishing que normalmente tentam enganá-lo, acreditando que você está visitando um site genuíno, em vez de uma página da web criada com códigos maliciosos.
De acordo com o documento de segurança da empresa, o software corrige uma falha em que visitar um site mal-intencionado pode levar à falsificação de barras de endereço. “Um problema inconsistente na interface do usuário foi resolvido com o gerenciamento aprimorado do estado”, afirma Apple.
Mesmo as pessoas que estão extremamente atentas ao phishing são suscetíveis a lidar com a falsificação de barras.
A sofisticação dos ataques de phishing de hoje veio à tona quando o pesquisador de segurança chinês Xudong Zheng demonstrou com que facilidade os usuários poderiam ser enganados a visitar um site falso que aparentemente mostra o URL correto na barra de endereços.
Para se proteger de tais ataques no futuro, digite manualmente o URL do site que você deseja visitar ou escolha seu site favorito no menu Favoritos do Safari. Evidentemente, você deve evitar clicar em links suspeitos em uma mensagem de email, mesmo que pareçam se originar de um contato que você conhece pessoalmente.
A vulnerabilidade corrigida foi descoberta no Safari para macOS, não no iOS.
A Apple credita Zhiyang Zeng e Yuyang Zhou do Departamento de Plataforma de Segurança Tencent pela descoberta da vulnerabilidade CVE-2017-2500 e Zhiyang Zeng do Departamento de Plataforma de Segurança Tencent pela descoberta da vulnerabilidade CVE-2017-2511.
Além disso, o Safari 10.1.1 corrigiu um problema no menu de histórico do Safari que poderia levar à negação de serviço do aplicativo depois de visitar uma página da Web criada com códigos maliciosos. O problema foi solucionado através de melhorias na manipulação de memória.
Por fim, o Safari 10.1.1 também inclui patches para até sete vulnerabilidades descobertas no mecanismo de renderização do WebKit, cinco das quais lidam com scripts universais entre sites, enquanto corrigem um problema no Web Inspector do WebKit, onde um aplicativo pode executar código não assinado.
O Safari 10.1.1 está disponível para OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12.5. A Apple também lançou uma pequena atualização para o iTunes para Mac e Windows hoje.
O iTunes 12.6.1 contém aprimoramentos não especificados de aplicativos e desempenho e uma correção para uma exploração do WebKit no Windows 7 e posterior que pode resultar em execução arbitrária de código após o processamento de conteúdo da Web criado com códigos maliciosos.