Se han publicado dos graves vulnerabilidades a las cuales se les asignaron los identificadores CVE-2011-3844 y CVE-2011-3845 que afectan al navegador de Apple, Safari 5 las cuales podrían permitir a un atacante remoto realizar un ataque de suplantación (spoofing) y ejecutar código arbitrario.

Safari es un navegador web (browser) desarrollado por la compañía Apple el cual fue lanzado en el año 2003. Este navegador se encuentra disponible para los sistemas operativos Mac OS X, iOS (iPhone, iPad, e iPod) y en las plataformas Microsoft Windows para los sistemas operativos Windows 7, Vista y XP.

La primera vulnerabilidad CVE-2011-3844 es consecuencia de un fallo en la implementación de la función setInterval. Este error lo podría explotar un atacante remoto para mostrar cualquier contenido en el navegador al mismo tiempo que se muestra en la barra de direcciones la URL de un sitio web de confianza. Para preparar ataques de phishing o robo de información, esta es la situación ideal. El fallo, ha sido confirmado en la versión 5.0.5, y solamente está “parcialmente arreglado” en la versión 5.1.2, la cual fue lanzada a finales del pasado año.

La segunda vulnerabilidad CVE-2011-3845, esta relacionada a un error de uso, después de liberar memoria relacionada con los plugins. Un atacante remoto podría aprovechar esta vulnerabilidad para ejecutar código arbitrario a través de una página web especialmente manipulada a la que la víctima debería acceder mientras interactúa con el plugin. Se ha confirmado en la última versión 5.1.2 disponible del navegador, con los plugins RealPlayer y Adobe Flash Player.

Estas dos vulnerabilidades han sido descubiertas por Krystian Kloskowski, un investigador conocido, el cual ha encontrado múltiples fallos en este navegador.

Hasta el momento de la publicación de esta noticia la versión que sigue disponible para descargar es la 5.1.2 por lo que se recomienda a los usuarios de este navegador web de usar otras alternativas hasta que se resuelvan estas dos graves vulnerabilidades. Los navegadores alternativos que pueden usarse son Firefox (o clones), Chrome (o clones), Opera e incluso Internet Explorer 9 (o clones).

Fuente: hispasec.com

Anuncios