苹果本周更新了Safari Web浏览器,这在很大程度上要归功于Google的努力。Apple于4月1日为Mac OS X用户发布了Safari 7.0.3和6.1.3浏览器。总共,浏览器更新提供了27个漏洞的修复程序,而Google Chrome安全团队报告了其中的16个漏洞。Safari更新中修复的所有漏洞都在WebKit呈现引擎中。
直到2013年4月,开源WebKit还是Google用来为其Chrome Web浏览器提供动力的渲染引擎。谷歌决定在一年前叉的WebKit到自己的渲染引擎,被称为闪烁。当时,有人猜测Google分叉WebKit可能会使Safari安全性受到威胁。长期以来,Google一直是WebKit研究和错误修复的主要贡献者,这使Safari和Chrome用户受益。
事实证明,即使Blink是代码分支,它仍然依赖WebKit引擎的元素,而Google仍需要修补这些元素,这也会影响Safari。
Safari更新中报告的所有WebKit问题都是与内存相关的问题。
苹果公司的安全公告指出:“ WebKit中存在多个内存损坏问题。” “这些问题已通过改进内存处理得到解决。”
尽管Google安全研究人员在为新Safari更新提供错误的人员中名列前茅,但也有其他人员。其中有研究人员,他们在3月份由惠普零日倡议(ZDI)赞助的Pwn2own 2014活动中 发现并公开展示了Safari中的缺陷。
在Pwn2own事件期间,Keen团队安全性研究小组利用内存堆溢出和沙箱绕过来利用Apple的Web浏览器。为了表彰他们的努力,HP向Keen Team授予了65,000美元的现金奖励。
参加Pwn2own事件的Pwn4fun组件的Google研究人员也能够成功公开展示Safari漏洞。对于Google的披露,惠普向加拿大红十字会捐赠了32,500美元。
此外,在Safari 7.0.3和6.1.3浏览器中已修复了针对Google的Chrome Pwn2own浏览器公开证明的漏洞。安全公司Vupen 在Pwn2own上展示了CVE-2014-1713,由于该漏洞而被惠普奖励10万美元。