Apple hevder ifølge Infoworld at selskapet ikke kan rette et sikkerhetsproblem knyttet til x.509 sertifikater i Windows-versjonen av Safari, fordi nettleseren avhenger av funksjonalitet som Microsoft nøler med å erklære som sårbar.
Sikkerhetsproblemet har vært kjent siden sikkerhetsekspertene Dan Kaminsky og Moxie Marlinspike offentliggjorde det i juli i år. Mer informasjon finnes i dette dokumentet.
Sårbarheten kan utnyttes av man-in-the-middle-angripere som forsøker å narre nettleseren til å opprette SSL-økter til ondsinnede servere i stedet for til de legitinme serverne brukere ønsker tilgang til.
Siden den tid har problemet blitt rettet i Mac-versjonen av Safari, samt i alle fall i Firefox 3.5 og Opera 10, som tydeligvis ikke avhenger av denne Windows-funksjonaliteten. Internet Explorer skal også være berørt av sårbarheten, men den skal ifølge Marlinspike være vanskelige å utnytte i dette tilfellet enn øvrige nettlesere.
Til tross for at det snart er to måneder siden Kaminsky og Marlinspike beskrev problemet, har Microsoft ennå ikke avgjort om sårbarheten faktisk finnes i Windows.
- Microsoft undersøker for tiden en mulig sårbarhet i Microsoft Windows. Så snart vår undersøkelse er fullført, vil vi gjøre det som er passende for å bidra til å beskytte våre kunder. Vi har ikke mer å meddele på dette tidspunkt, skriver Microsoft i en e-post til Infoworld.
Ifølge Marlinspike er ikke sårbarheten begrenset til nettlesere, men berører også annen type programvare som benytter SSL. Dette inkluderer klienter for e-post, lynmedinger, VPN og mye annet.
