一名安全研究人员称,苹果Safari浏览器的下载机制中可能存在一个缺陷。
据国外媒体报道称,安全研究人员加尼在其博客中写道,无须获得用户允许,Sarfari 3.1就可以下载内容。加尼说,这一问题非常明显:无须用户同意,恶意软件就会被下载到用户桌面上。
最近有媒体报道称,通过与iTunes和QuickTime等应用软件捆绑,苹果将Safari浏览器的市场份额提高了2倍。
Securosis.com的里奇本周一表示,尽管自动下载功能在缺省状态下不会遭遇这一问题,但这仍然意味着很大的安全风险。他说,在Windows系统中,下载的内容在缺省状态下会下载到用户的桌面上,黑客很容易就能诱骗用户执行恶意软件;在Mac OS X Leopard系统中,下载的内容会下载到“下载文件夹中,即使如此,如果黑客使用一个有吸引力的文件名,用户仍然可能会受骗上当。
里奇表示,苹果显然没有考虑到这一点:黑客可能利用社会工程原理,通过有吸引力的文件名和图标诱惑用户运行恶意软件。他说,这显然是一个安全问题,苹果应当尽快地修正这一问题。
但据加尼称,他与苹果的沟通表明,尽管苹果认为在下载前获得用户允许是个好主意,但苹果并不认为这是一个安全问题,也没有在近期修正这一问题的计划。
Gartner的副总裁瓦格纳表示,他认为苹果没有意识到这一问题在安全方面的影响。他说,从安全角度看,在用户不知情或没有同意的情况下向用户的PC下载任何数据和可执行代码都应当被认为是一个问题。我认为苹果应当优先修正这一问题。 |
