Microsoft ha diramato un Security Advisory in cui mette in guardia i propri utenti circa la vulnerabilità del browser di Cupertino, già resa pubblica da StopBadware.org.
L’azienda di Redmond sottolinea la possibilità di esecuzione remota di codice potenzialmente maligno su un computer con Windows XP o Vista su cui è installato Safari: viene anche ribadito (giudicate voi quanto maliziosamente) che Safari non è un programma installato di default con Windows. La soluzione indicata da Microsoft consta nel cambiare la directory in cui Safari posiziona i file scaricati.
Ciò che, tuttavia, l’avviso non dice lo scopriamo da Aviv Raff, colui che sembra essere il primo scopritore di questo tipo di falla.
Raff, che sostiene di aver avvertito Microsoft da oltre un anno, riporta che il pericolo non è dovuto al solo bug di Safari, ma sfrutta in maniera combinata una vulnerabilità di Internet Explorer. Aviv Raff dichiara di non voler scendere nei particolari prima di un intervento da parte di Apple o Microsoft, in quanto queste vulnerabilità non sono ancora state sfruttate da malintenzionati.
Lo stesso Raff conclude con una nota molto interessante: il bug di Safari è condizione necessaria ma non sufficiente per essere vulnerabili: dunque, se Apple non rilascerà una patch, sarà sempre possibile trovare vulnerabilità in altre applicazioni in modo da ritrovarsi nuovamente in condizione di non sicurezza.
Microsoft ha fatto sapere di essere al lavoro con Apple per risolvere il problema (anzi, i problemi): probabilmente arriveranno due patch separate, la prima in forma di Service Pack di Microsoft, la seconda come Security Update da parte di Apple.
Da sottolineare che gli utenti di Safari su Mac OS X, pur potenzialmente vulnerabili, sono in realtà relativamente al sicuro non essendo state ad ora scoperte falle di altre applicazioni che potrebbero esporre gli utenti al problema.
