Польский эксперт по сетевой безопасности Кристиан Клосковски (Krystian Kloskowski) сообщил об обнаружении критически важной уязвимости в браузере Apple Safari для платформ Windows. Группа быстрого реагирования US-CERT уже подтвердила наличие уязвимости в новейшей версии Safari 4.0.5 для Windows. Кроме того, есть неподтвержденные сведения о том, что уязвимость может проявляться и в Mac-версии браузера.

Согласно предупреждению авторитетной компании Secunia, обнаруженная проблема имеет статус «высоко критичной» (highly critical) – вторая по значимости оценка из пяти возможных. Уязвимость возникает, когда браузер некорректно обрабатывает родительские окна, что может привести к «вызову функции с неверным указателем».

Теоретически, злоумышленники могут использовать возникшую проблему, создав вредоносный веб-сайт и обманным путем заманить на него пользователей. Посетив такой сайт, пользователи незаметно для себя загрузят вредоносный код на локальный компьютер – для этого достаточно просто посетить сайт и закрыть всплывающие окна на этом сайте. Никаких иных действий от пользователя не потребуется – все свои злонамеренные действия вредоносный сайт выполнит без участия жертвы, используя только уязвимость в браузере Safari для Windows.

Специалисты из US-CERT добавили еще один вероятный сценарий атаки с использованием найденной уязвимости: вредоносный код можно передать на компьютер жертвы, заставив пользователя открыть электронное письмо в формате HTML с помощью браузера Safari. Для этого, конечно, необходимо внести в код HTML-письма определенные модификации.

Компания Apple пока не прокомментировала ситуацию с новой уязвимостью. До выпуска исправлений эксперты из US-CERT рекомендуют полностью отключить исполнение сценариев Javascript в тех версиях браузера, которые подвержены уязвимости. Необходимые изменения в конфигурации можно сделать в меню «Параметры» в основном интерфейсе браузера Safari.

Хотя оригинальное сообщение Клосковски содержит опытный образец программы, использующей уязвимость для взлома, на текущий момент не обнаружено ни одного реального примера, где злоумышленники используют найденные проблемы для выполнения реальных вредоносных действий.

По материалам сайта IT Pro.