Usikre sprett-opp-vinduer i Safari

Kan gi angripere full tilgang til systemet.

Sikkerhetsselskapet Secunia meldte før helgen at den polske sikkerhetseksperten Krystian Kloskowski har funnet en sårbarhet i Apples nettleser, Safari, som kan utnyttes av ondsinnede til å kompromittere en brukers system.

Sårbarheter skyldes en feil i håndteringen av foreldrevinduer og kan resultere i et funksjonskall som bruker en ugyldig peker. Dette kan utnyttes til å kjøre vilkårlig kode når en bruker for eksempel besøker spesielt utformede websider og lukker sprett-opp-vinduer som har åpnet seg.

Sårbarheten kan kun utnyttes dersom blokkeringen av sprett-opp-vinduer er deaktivert i Safari. Det er den vanligvis ikke.

Sårbarheten er så langt bekreftet i Safari 4.0.5 for Windows, men også andre versjoner kan være berørt.

Kloskowski har også utgitt kode som viser hvordan sårbarheten kan utnyttes.

Apple ser foreløpig ikke ut til å ha kommentert sårbarheten. Dermed er det ikke kjent hvilke planer selskapet har for en sikkerhetsfiks. I fjor brukte selskapet i gjennomsnitt 13 dager på å fjerne kjente sårbarheter i Safari.

    Les også:

Til toppen