Mamy nową wysoce krytyczną lukę w Windows 7, która w połączeniu z przeglądarką Safari umożliwia uruchomienie dowolnego kodu z uprawnieniami jądra systemu. Luka ta jest już wykorzystywana do instalacji złośliwego oprogramowania.
Wg porady Secunii nr SA47237 podatność dotyczy win32k.sys, a jest to kod, który pracuje z uprawnieniami jądra systemu. Skutek naruszenia pamięci w takim procesie jest oczywisty, jest nim możliwość wykonania dowolnego kodu przez napastnika, niekiedy z uprawnieniami jądra systemu. Obecnie jedynym znanym programem, który może posłużyć do wykorzystania tego błędu jest przeglądarka Safari, przy czym luka omija wszystkie zabezpieczenia, takie jak DEP czy mechanizm uprawnień Windows. Od strony kodu HTML, wystarczy utworzyć ramkę IFRAME z nadzwyczaj dużą zadeklarowaną wysokością.
Opisy włamań udowadniają, że eksploit może pozyskać kontrolę nad w pełni zaktualizowanym systemem Microsoft Windows 7 64 bit, prawidłowo skonfigurowanym, w którym z przeglądarką Safari pracuje użytkownik o bardzo ograniczonych uprawnieniach w systemie.
Krótkie poszukiwania na forach dyskusyjnych wskazują, że wyłączenie interfejsu Aero i wybranie klasycznego znacząco zmniejsza podatność na atak. Ponadto ataku nie udało się jeszcze odtworzyć w przeglądarce Mozilla Firefox, zatem prawdopodobnie ryzyko jest mniejsze, gdyż Safari w wydaniu dla Windows posiada niewielki udział w rynku. Microsoft jeszcze nie wydał aktualizacji, ale jest to wysoce krytyczny błąd dotyczący jądra Windows, zatem można oczekiwać opracowania łatki poza zwykłym cyklem aktualizacji. Krótka porada dla administratorów – zablokujcie Safari w firmie za pomocą GPO i tymczasowo wyłączcie Aero do czasu wydania i przetestowania aktualizacji.