All’inizio della settimana un ricercatore di sicurezza argentino ha annunciato la scoperta di due vulnerabilità potenzialmente gravi nella versione di Safari per Windows.
L’esperto, Juan Pablo Lopez Yacubian, ha spiegato che la più seria delle due falle può consentire ad un aggressore di “falsificare l’indirizzo web” mostrato nella barra degli URL di Safari: questo bug potrebbe essere sfruttato negli attacchi di phishing per far credere all’utente che una pagina web maligna appartenga invece ad un sito di fiducia.
La seconda debolezza riguarda un errore nella gestione dei file Zip scaricati dal Web: un file contenente un nome troppo lungo può causare il crash del browser e l’eventuale esecuzione di codice maligno. Esiste la possibilità che tale falla possa essere sfruttata da un aggressore per prendere il pieno controllo di un sistema remoto, ma al momento non si conoscono exploit capaci di trarne vantaggio.
Yacubian afferma di aver verificato la presenza delle vulnerabilità nella più recente versione di Safari per Windows, la 3.1, distribuita da Apple la scorsa settimana. Il problema potrebbe interessare anche altre release.
Secunia , che ha classificato la pericolosità di entrambi i bug di livello highly critical , afferma che al momento non esiste ancora nessuna patch.