两年后修复安全漏洞在Windows版的Safari浏览器,苹果显然已经决定,Mac用户可以修复。
苹果最初对Nitesh Dhanjani的工作发展中所谓的“地毯式轰炸”攻击,安全研究人员周一在一次采访中说。“我告诉苹果两年前,他们回应,称这是比其他任何更多的烦恼。”
这被证明是错误的评估。Dhanjani上市后不久的缺陷在2008年5月,另一个安全研究人员展示了如何结合地毯式轰炸攻击另一个窗口一个Windows PC上运行未经授权的软件。苹果然后运送修复Safari在Windows上,但不是Safari在Mac OS X上。
没有人显示如何做到这一点的Mac OS X版本的Safari浏览器,但Dhanjani仍然认为苹果应该解决这个问题在两个平台上。
地毯炸弹袭击的受害者访问恶意网站,然后开始受害者的电脑没有下载未经授权的文件的批准。
“[W]虽然大多数理智的Web浏览器警告最终用户并要求明确的许可之前在本地保存文件时,Safari继续将文件并保存到默认的下载位置没有询问用户,”他说博客:“即使数以百计的恶意网站同时提供文件。”
没有进行另一个攻击,黑客仍然没有办法受害者的计算机上运行的文件,但这些非法下载仍然是一个安全风险,Dhanjani说。“在这个时代…这个网站不可以放弃任何希望进入我的下载文件夹。”
然而,并不是每个人都同意。指出苹果黑客查理·米勒说,Dhanjani的错误并不严重,因为没有第二个Mac OS X错误导致下载的文件被执行。“基本上,一个网站可以下载一些文件到你的下载目录。这不是一个理想的状况,但话又说回来,我没有看到很多伤害来自它,”他在一封电子邮件采访中说道。“尤其是,如果浏览器在我面前唠叨的替代方法是每次我想下载一些东西。”
Dhanjani认为苹果还没有固定的问题,因为这可能会惹恼Mac用户。“他们在可用性,”他说。“苹果想让一切无缝的,他们不希望用户必须通过这个额外的过程。”
苹果没有立即回复记者的置评请求。该公司通常不会对安全问题发表评论。
在2008年5月邮件Dhanjani,被IDG新闻服务,苹果的安全团队表示,将考虑添加一个“问我之前下载任何“偏好Safari。“这将需要与人机界面评估团队,“苹果告诉研究人员。“我们想要设置你的期望,这可能需要很长一段时间,如果它被合并。”