Dziury w Safari dla Windows

Nie trzeba było długo czekać na znalezienie kilku dziur w dopiero co wypuszczonej becie windowsowejwersji przeglądarki Safari firmy Apple. Thor Larholm znalazł lukę w ciągu dwóch godzin od instalacji.Polega ona na niewystarczającej walidacji parametrów przekazywanychdo zewnętrznych aplikacji obsługujących różne protokoły. Można towykorzystać do uruchomienia dodatkowych aplikacji oprócz tej, którajest skojarzona z danym protokołem. Exploit Larholma wykorzystuje protokół gopher,uruchamiając skojarzoną aplikację (np. Firefoksa) oraz powłokęcmd.exe. Aby exploit zadziałał nie muszą być spełnione żadnedodatkowe warunki, wystarczy, że użytkownik wejdzie na stronę zexploitem. Z kolei pracownicy firmy Errata Security znaleźli cztery podatności na atak odmowyusługi oraz 2 podatności na zdalne wykonanie kodu. Znalezione przeznich dziury występują także w wersji dla Mac OS X. Dziurę, która potencjalnie może pozwalać nazdalne wykonanie kodu, znalazł także Aviv Raff. Część wykrytych błędów bierze się z faktu, że Safari jest portowanea to zawsze sprawia problemy. Oprócz różnic w systemachoperacyjnych należy też wziąć pod uwagę, że programiści Apple niemają tak dużego doświadczenia w pisaniu pod Windows jak pod Mac OSX. Miejmy nadzieję, że dziury oraz liczne problemy z wyświetlaniemstron zostaną usunięte do czasu październikowej premiery.