Esta brecha de día cero en Safari permite a los atacantes comprometer PC Windows con sencillas tácticas de ataque “drive-by”, según los investigadores de US-CERT.

El fallo de seguridad del navegador de Apple fue reportado por primera vez por la compañía danesa Secunia y ha sido ahora confirmado por la organización estadounidense United States Computer Emergency Readiness Team (US-CERT).

Aprovechando la vulnerabilidad, los atacantes pueden “ejecutar código arbitrario cuando un usuario visita una página Web específicamente maleada y después cierra las ventanas pop-up que se hayan abierto en el proceso”, explica Secunia. También es explotable haciendo que las víctimas abran correos electrónicos maliciosos basados en HTML dentro de Safari, según añade la alerta de US-CERT.

El investigador ruso Krystian Kloskowski ha publicado un código de ataque de prueba de concepto que, según Secunia y CERT compromete la versión Windows de Safari 4.0.5, la edición más actual del navegador de Apple.

Secunia ha clasificado la vulnerabilidad como “altamente crítica”, el segundo mayor nivel de peligrosidad dentro del ranking de la compañía.