Apple Safari logo Alors que John Lilly, le PDG de la Fondation Mozilla que l'on a connu peut-être plus inspiré, fait souffler le vent de la polémique en critiquant la mise à disposition de Safari 3.1 pour Windows en tant que mise à jour d'iTunes et ainsi d'assimiler cette pratique à celle utilisée pour la diffusion de malwares, le navigateur d'Apple est victime de deux vulnérabilités de sécurité.

Découvertes par Juan Pablo Lopez Yacubian, ces vulnérabilités ont été confirmées par la société Secunia avec la version 3.1 de Safari pour Windows, dans un avis de sécurité qualifié de " hautement critique ", soit le niveau 4 d'une échelle de dangerosité graduée jusqu'à 5. Exploitables à distance, elles peuvent être utilisées pour des attaques de type spoofing (usurpation d'identité) ou pour compromettre un système vulnérable.

Plus précisément, elles sont dues à une erreur de corruption de mémoire lors du téléchargement d'une archive ZIP au nom excessivement long, et à une erreur présente au niveau de la manipulation des fenêtres ce qui pourrait permettre à un site malveillant d'usurper l'identité d'un site de confiance.

En attendant la publication de correctifs made in Apple, Secunia recommande aux utilisateurs de ne pas naviguer sur des sites non sûrs, tout en indiquant que d'autres versions de Safari sont également susceptibles d'être vulnérables.