L’aggiornamento di iOS 5.1.1 reso disponibile nel corso della tarda serata di ieri, oltre alle novità elencate dalle relative note di rilascio, include anche un security update che chiude tra vulnerabilità individuate tutte nel browser Web Safari.
La prima falla di sicurezza, scoperta dall’espero di sciurezza David Vieira-Kurz di MajorSecurity, è nota come bar spoofing ed è causata da un bug nella gestione degli URL di Safari. Grazie ad un sito Web scritto da un pirata informatico, l’utente viene reindirizzato verso un falso sito, ma nella barra degli indirizzi, la vittima vede l’URL reale. Ovviamente, la falla può esser sfruttata per carpire illegalmente informazioni sensibili cone le credenziali del proprio sito bancario o finanziario.
Un’altra falla di Safari chiusa da Apple con il rilascio di iOS 5.1.1 è del tipo cross-site scripting, una vulnerabilità che affligge soprattutto siti web dinamici che impiegano un insufficiente controllo dell’input nei form.
La terza ed ultima falla poteva consentire ad un hacker di determinare la chisura inaspettata di Safari o eseguire un codice arbitrario.
Le tre vulnerabilità riguardano solo la versione mobile di Safari e non anche quella di OS X.
