In der letzten Woche veröffentlichte Apple die Version 3.1 seines Browsers Safari für Windows in einer Betaversion. Seitdem wird die Software auch über die Update-Funktionen in Quicktime und iTunes verteilt, was für heftige Kritik sorgte (wir berichteten).
Nun meldet der Sicherheitsexperte Juan Pablo Lopez Yacubian, dass er zwei Sicherheitslücken in der neuesten Betaversion entdeckt hat. Angreifer könnten die Schwachstellen ausnutzen, um Seiteninhalte zu fälschen oder sogar Schadcode einzuschleusen. Der Argentinier demonstriert das Ganze auf zwei Webseiten mit Proofs of Concept.
Der erste Fehler lässt sich für so genannte Spoofing-Angriffe ausnutzen, der zweite bringt den Browser bei sehr langen Dateinamen zum Absturz und macht ihn damit anfällig für die Einschleusung von Schadcode.
Apple hat bisher noch nicht reagiert und weder eine Sicherheitsmeldung noch einen Patch veröffentlicht.