Uma falha de spoofing da barra de endereços foi descoberta pelo pesquisador argentino Juan Pablo Lopez Yacubian, que relatou a falha para a Secunia na segunda-feira. Ele também relatou uma segunda vulnerabilidade envolvendo a corrupção de memória, embora a Secunia não tenha ainda estabelecido se esta falha pode ou não ser explorada. Mesmo assim, a Secunia classificou as vulnerabilidades como "altamente críticas".
"Uma vulnerabilidade é uma clássica vulnerabilidade de spoofing que permite a um atacante enganar o usuário do Safari fazendo-o acreditar que está em um site diferente do que ele atualmente está, o que torna fácil para roubar informações deste usuário", disse o CTO da Secunia, Thomas Kristensen, nesta quarta-feira.
"Quanto à outra, nós ainda estamos investigando", disse Kristensen. "É uma vulnerabilidade de corrupção de memória e ainda não conseguimos provar se ela pode ou não ser explorada, mas se puder, então será possível que um site malicioso execute keyloggers ou outros softwares maliciosos".
Kristensen disse que a controversa tática da Apple de empurrar o Safari para o Windows como uma "atualização" para usuários do iTunes conseguirá "obter mais usuários para o browser", mas disse que "não acha a base de usuários do Safari para Windows grande o bastante para que alguém se interesse em explorar esta falha no momento".
"Nenhuma destas vulnerabilidades podem ser exploradas se você não usa o Safari ativamente para visitar um site malicioso", disse Kristensen, enquanto confirmava que as falhas de segurança ainda não foram corrigidas pela Apple.
