Safari: una semplice tag HTML manda in crash Windows 7

Secunia, società danese da anni attiva nel campo della sicurezza informatica – produttrice, tra gli altri, di un software in grado di segnalare la mancata installazione delle patch di sicurezza per una gran quantità di applicazioni più e meno note (ved. questi articoli) – ha segnalato la scoperta di una vulnerabilità di sicurezza in Windows 7 64 bit. “La lacuna di sicurezza potrebbe essere sfruttata da un malintenzionato per compromettere il sistema di un utente“, si legge nell’incipit del bolletino pubblicato da Secunia.
La falla sarebbe causata da un bug presente nel file win32k.sys: visitando con il browser Apple Safari una pagina web contenente una tag IFRAME a sua volta definita utilizzando un parametro height che specifica un’altezza in pixel assolutamente esagerata, si verificherebbe il crash dell’intero sistema con l’esposizione della celeberrima schermata blu (BSoD).
Stando all’autore della scoperta, la funzione responsabile del patatrac sarebbe NtGdiDrawStream.

E’ bene comunque evidenziare che la lacuna non interessa gli utenti delle versioni a 32 bit di Windows 7 né coloro che utilizzano browser differenti da Apple Safari (sul sistema operativo di Microsoft la fetta di utenti che impiega Safari è ancora piuttosto limitata se paragonata ad Internet Explorer, Firefox e Chrome).
I tecnici di Secunia non escludono tuttavia che la vulnerabilità, di per sé semplicissima da “innescare”, possa portare anche all’esecuzione di codice dannoso in modalità kernel.