Una vulnerabilidad moderada de Safari se hace crítica sobre Windows

Microsoft ha advertido que un fallo descubierto recientemente en el navegador Safari de Apple podría tener consecuencias directas para los usuarios Windows.

El agujero de Safari, cuya existencia fue comunicada por primera vez el pasado 15 de mayo por el investigador de seguridad Nitesth Dhanjani, permite a los atacantes cargar el sistema de sobremesa de la víctima de ficheros ejecutables, un ataque conocido como “carpet bombing”.
Más tarde, se ha descubierto que si el fallo es explotado en combinación con una segunda vulnerabilidad aún no parcheada en Internet Explorer (el navegador de Windows) los hackers también podrían correr software no autorizado sobre los ordenadores de la víctima, según Aviv Raff, otro experto en seguridad. Raff ha explicado que informó del fallo de Internet Explorer (IE) a Microsoft hace más de un año, y recientemente ha comunicado al fabricante cómo podría combinarse con el problema de Safari.
Para que el ataque funcione, la víctima debe visitar antes una página infectada utilizando Safari como navegador, que a su vez disparará el ataque de bombing carpet y explotará el fallo de IE. Tanto el agujero de Safari como el de IE son vulnerabilidades de nivel moderado, pero combinadas constituyen un agujero crítico que permite la ejecución remota de código, según ha asegurado Raff.
Microsoft parece haberse tomado en serio el asunto. El pasado viernes emitió un aviso de seguridad sobre el problema, signo, según algunos expertos, de que trabaja ya en un parche para la brecha de IE. El aviso informa que la vulnerabilidad está relacionada con la forma en que Windows maneja ejecutables sobremesa y recomienda a los usuarios de su sistema operativo restringir el uso de Safari como navegador hasta que esté disponible el parche apropiado, ya sea de Microsoft o de Apple.
Según se ha comprobado hasta ahora, el problema afecta a todas las versiones de Windows XP y Vista, de acuerdo con información facilitada por la propia Microsoft. 
Whitepaper emc-cio-it-as-a-service-wp Whitepapers