Ejecución remota de código por medio de Safari en Windows Vista y XP

Esto sería posible si un atacante explotase de forma conjunta un fallo en Safari que permite la descarga no solicitada de archivos junto con otra vulnerabilidad no especificada en Internet Explorer.

Safari es un popular navegador web desarrollado por Apple, incluido en las sucesivas versiones de Mac OS X y del que también existen versiones oficiales para Windows XP y Vista. Durante los últimos meses se ha estado ofreciendo la descarga de Safari junto con las actualizaciones periódicas de iTunes, el gestor de archivos multimedia de Apple.

El pasado 14 de Mayo, el investigador Nitesh Dhanjani, de Ernst & Young, publicó una entrada sobre una falta de control sobre las descargas en Safari, problema que bautizó como “Carpet Bomb”. En ella se mostraba que es posible la descarga de forma automática de un gran número de archivos en el escritorio, si se visita con Safari una web maliciosa que haga uso de un script CGI especialmente preparado. El navegador no incluye la opción para mostrar un cuadro de dialogo antes de iniciar una descarga usando este método, no pregunta si quieres bajar algo o no, simplemente descarga cualquier archivo en la carpeta elegida por defecto (normalmente el escritorio de Windows). Por lo tanto, un usuario que visite con Safari una página web especialmente manipulada podría efectuar la descarga no solicitada e inadvertida de un archivo malicioso. Un atacante podría “colar” cualquier tipo de malware en el escritorio de una víctima que, de ejecutarlo por accidente, podría causar el compromiso total del sistema.

Cuando Apple fue informado acerca de este supuesto fallo en Safari, su investigadores no lo consideraron un problema de seguridad aunque añadieron que estudiarían la posibilidad de incluir un cuadro de diálogo en un futuro. Es cierto que no es una vulnerabilidad en el sentido más estricto, pero puede provocar que los usuarios de Safari en las plataformas Windows acaben con el escritorio repleto de malware.

Desde Microsoft se ha tomado el asunto mucho más en serio, de tal forma que el pasado día 30 de mayo publicó una advertencia de seguridad. En dicha nota se advierte contra una “amenaza combinada que permite la ejecución remota de código en todas las versiones de Windows XP y Vista que tengan Safari instalado”. Aunque se puntualiza que actualmente no se tiene conocimiento de ningún ataque que intente explotar dicha amenaza.

La segunda parte de esta “amenaza combinada”, y necesaria para que sea posible la ejecución remota de código sin interacción por parte del usuario, es una vulnerabilidad en Internet Explorer descubierta hace tiempo por el investigador israelí Aviv Raff. No se han desvelado más detalles acerca de la misma, pero Raff afirma que por medio de un ataque que aproveche de forma combinada de las dos vulnerabilidades se podría comprometer por completo un sistema vulnerable. Desde su blog confirma que está trabajando junto con Microsoft para solventar la vulnerabilidad y rehúsa publicar más datos hasta que no haya un parche disponible.

Microsoft sugiere como contramedida cambiar el lugar por defecto donde Safari descarga los archivos, pero Raff advierte que es insuficiente para evitar la amenaza y sugiere dejar de usar Safari hasta que se haya solventado el problema.