Diverse IT-beveiligingsexperts en waarschuwingsdiensten melden dat er een lek is ontdekt is Safari. De kwetsbaarheid in de browser kan door kwaadwillende gebruikt worden om op afstand programmacode uit te voeren op Windows-computers.

De kwetsbaarheid is een gevolg van een fout in de manier waarop Safari omgaat met vensterobjecten. De browser laat toe dat een vensterobject wordt verwijderd terwijl verwijzingen naar dat object blijven bestaan. Als vervolgens JavaScript-code probeert het gewiste vensterobject te gebruiken, kan dit een niet-gevalideerde ‘pointer’ als gevolg hebben. De aanvaller kan deze pointer besturen. Door het openen van een HTML-document, HTML-mailtje of een HTML-bijlage bij een tekstmail zet de gebruiker de deur naar zijn pc open en kan de aanvaller programmacode uitvoeren met dezelfde rechten als de legitieme gebruiker.

IT-beveiligingsbedrijf Secunia geeft aan dat het bevestigd is dat het lek bestaat in versie 4.0.5 van Safari voor Windows en kan het niet uitsluiten dat ook andere versies getroffen zijn. Mogelijk is het lek ook aanwezig in de Mac-versie van Safari.

Het Amerikaanse Computer Emergency Readiness Team meldt dat er tot op heden nog geen praktische oplossing voor het probleem beschikbaar is en zodoende gaat het om een zero-day lek. Het advies is om geen ‘ongevraagde’ links te openen die binnenkomen via e-mail, instant messaging, IRC-kanalen en webfora en geeft aan dat het uitschakelen van JavaScript het lek ‘verhelpt’.