Sikkerhetsselskapet Secunia meldte før helgen at den polske sikkerhetseksperten Krystian Kloskowski har funnet en sårbarhet i Apples nettleser, Safari, som kan utnyttes av ondsinnede til å kompromittere en brukers system.
Sårbarheter skyldes en feil i håndteringen av foreldrevinduer og kan resultere i et funksjonskall som bruker en ugyldig peker. Dette kan utnyttes til å kjøre vilkårlig kode når en bruker for eksempel besøker spesielt utformede websider og lukker sprett-opp-vinduer som har åpnet seg.
Sårbarheten kan kun utnyttes dersom blokkeringen av sprett-opp-vinduer er deaktivert i Safari. Det er den vanligvis ikke.
Sårbarheten er så langt bekreftet i Safari 4.0.5 for Windows, men også andre versjoner kan være berørt.
Kloskowski har også utgitt kode som viser hvordan sårbarheten kan utnyttes.
Apple ser foreløpig ikke ut til å ha kommentert sårbarheten. Dermed er det ikke kjent hvilke planer selskapet har for en sikkerhetsfiks. I fjor brukte selskapet i gjennomsnitt 13 dager på å fjerne kjente sårbarheter i Safari.
Les også:
- [08.06.2010] Ekstremt mange sårbarheter i Safari 4
- [20.04.2010] Ingen slår Opera i sikkerhetsfiksing
