Apple не собирается исправлять баг в Safari

19/05/2008 12:04

Компания Apple отказалась устранять ошибку в браузере Safari, сообщает The Register. Специалист по информационной безопасности Нитеш Дханьяни (Nitesh Dhanjani) обнаружил, что Safari не предупреждает пользователя, если какой-либо компонент сайта (например, Iframe) собирается загрузить файл на компьютер. Дханьяни сообщил об этом разработчикам браузера, но те посчитали, что это не является проблемой безопасности, так что предупреждения о загрузке дополнительных файлов с сайта появится когда-нибудь при плановом обновлении Safari. Автор Zero Day Blog пишет, что с помощью этой уязвимости (известной как carpet bombing) можно легко загрузить через Safari на рабочий стол пользователя Windows ложный значок "Мой компьютер", открыв который, пользователь попадет на сайт злоумышленников или просто запустит вредоносную программу. В Mac OS X файлы по умолчанию принимаются в папку загрузки, а не на рабочий стол, но приятного в этом все равно мало. Кроме carpet bombing, Нитеш Дханьяни нашел еще одну уязвимость в Safari, которая действует обратным образом – сайт получает возможность кражи файлов с жесткого диска. Эту ошибку разработчики Apple признали и обещают выпустить патч в ближайшее время.
Источник