Vulnerabilidad en Safari

Leemos en Core Dump que Brian Mastenbrook (que se describe a sí mismo como «próximo arquitecto de grandes cosas» e ingeniero de software), conocido por haber encontrado otras vulnerabilidades en aplicaciones de Apple, ha descubierto un fallo en Safari que permite a un atacante leer archivos almacenados en un equipo sin que el usuario propietario de la máquina se dé cuenta. Hay que decir que esta vulnerabilidad afecta tanto a versiones para Mac OS X como Windows.

Según Mastenbrook, «esta vulnerabilidad podría ser explotada por un sitio de phishing para robar información a los usuarios afectados«. A pesar de que el bueno de Mastenbrook no ha revelado mucha información sobre el fallo de seguridad en Safari, parece que está relacionado con la manera en la que el sistema operativo trata las URL de los contenidos sindicados (los feed). El problema se encuentra en un desbordamiento de buffer o en un error con el formato de la cadena de texto del enlace.

Para solucionar la vulnerabilidad Mastenbrook nos sugiere utilizar otro lector de RSS diferente al que viene en Safari y en Mail. De todas formas, los hackers pueden acceder a la vulnerabilidad a través de otros servicios que llamen a las URL de los feeds problemáticos, por lo que volvemos a insistir que, mientras Apple no haga algún comunicado oficial o saque un parche, lo mejor será dejar de leer los feeds con la herramienta de Safari.