El pasado 15 de Mayo el especialista en seguridad Nitesh Dhanjani hizo pública la existencia de un posible problema de seguridad en Safari llamado Carpet Bomb. Ayer, un hacker hizo pública la vulnerabilidad y publicó un código malicioso que explota este problema de seguridad en Safari e Internet Explorer.
Ahora que se ha hecho pública la vulnerabilidad, los usuarios de Safari sobre Windows deberían tener mas cuidado en los sitios que visitan o podrían verse en problemas.
El problema parece estar localizado en como maneja Safari el contenido de las páginas web, permitiendo que sin el permiso del usuario, se descarguen archivos. Nitesh Dhanjani, el descubridor del problema, presentó un informe de seguridad a Apple, y se ha reunido con ellos con una respuesta bastante neutral acerca del asunto.
“Lo podríamos llamar una solicitud de mejora al equipo de Safari. Denotar que no lo estamos tratando como un problema de seguridad, pero si como una medida futura para elevar el nivel de protección frente a descargas no deseadas. Esto requerirá una revisión con el Equipo de Interfaz de Safari” dijo Nitesh Dhanjani
www.StopBadware.org ha dicho que el problema es mas grande de lo que Apple quiere admitir, diciendo que la vulnerabilidad podría causar un serio problema de seguridad.
Microsoft advierte sobre Safari y este problema
Microsoft publicó una “Microsoft Security Advisory (953818)”, titulada “Blended Threat from Combined Attack Using Apple’s Safari on the Windows Platform”.
El documento indica que Microsoft está investigando nuevos informes públicos de una amenaza combinada que permite la ejecución de código remoto en todas las versiones soportadas de Windows XP y Windows Vista cuando el Safari de Apple para Windows se ha instalado. Safari no está instalado con Windows XP o Windows Vista por defecto; debe ser instalado independientemente o a través de la aplicación Apple Software Update. Los clientes que ejecutan Safari sobre Windows deberían examinar esta documentación.
En este momento, Microsoft no es consciente de ningún ataque que intente explotar esta amenaza combinada. Hasta la finalización de esta investigación, Microsoft tomará las medidas apropiadas para proteger a nuestros clientes. Este puede incluir el suministro de una solución a través de un service pack, el proceso de actualización mensual, o una actualización de seguridad, según las necesidades de los clientes.
Los clientes que han cambiado la localización por defecto donde está la descargas de Safari en el disco local no están afectados por esta amenaza combinada.
Acción Sugerida por Microsoft: Restringir el uso de Safari como navegador web hasta que esté disponible una actualización apropiada de Microsoft y/o Apple.
Supuestamente, Apple no tiene planes de actualizar Safari para solucionar este problema de seguridad. El problema afecta a ambos navegadores, Safari e Internet Explorer, en todas las versiones de WIndows XP y Windows Vista.
