Сегодня Apple выпустила Safari 4.0.2, который теперь доступен на странице загрузки Safari от Apple или через «Обновление программного обеспечения». Согласно документу поддержки, связанному с выпуском, обновление устраняет две уязвимости безопасности, которые могли быть использованы злонамеренно созданными веб-сайтами. Также сообщается, что обновление улучшает стабильность JavaScript-движка Nitro, используемого Safari.

Первая уязвимость позволяет веб-сайтам проводить атаки типа «cross-site scripting».

Проблема в обработке WebKit объектов parent и top может привести к атаке типа «cross-site scripting» при посещении злонамеренно созданного веб-сайта. Данное обновление устраняет проблему за счет улучшенной обработки объектов parent и top.

Вторая уязвимость позволяет выполнять произвольный код при посещении определенных злонамеренно созданных веб-сайтов.

Существует проблема повреждения памяти при обработке WebKit числовых ссылок на символы. Посещение злонамеренно созданного веб-сайта может привести к неожиданному завершению работы приложения или выполнению произвольного кода. Данное обновление устраняет проблему за счет улучшенной обработки числовых ссылок на символы. Благодарим Криса Эванса за сообщение об этой проблеме.

Safari 4.0.2 доступен для OS X Leopard, OS X Tiger и Windows (XP и Vista).