freestone-carryout
freestone-carryout
freestone-carryout
freestone-carryout

Nya risker med Safari

Säkerhetsexperten Nitesh Dhanjani har han tagit kontakt med Apple om alla tre buggarna och fått positiv respons på en av dem. Det gäller en bugg som låter en angripare stjäla filer från en användares dator via Internet. Apple har svarat att det tar den buggen på allvar och arbetar med att åtgärda den. Så den berättar han inga detaljer om.

Men de andra två buggarna menar han att Apple struntar i. Så för att sätta lite eld i baken på Apple så har han publicerat detaljer om hur de kan användas för att ställa till problem för en användare.

Den första buggen kallar han Safari Carpet Bomb. Enligt honom gör den det möjligt för en skadlig webbsida att fylla besökarens skrivbord med skadlig kod på en Windows dator. Om Safari-användaren kör MacOS X hamnar filerna i katalogen Downloads. Problemet är att det gör det utan att fråga användaren om denne vill ha några filer nedladdade. Dhanjanis slutsats är att detta är ett sätt som öppnar för angripare att föra över massvis med skadliga filer till användarens dator.

Apples svar gick ut på att det nog skulle vara en bra idé att systemet frågar användaren. Men att det nog inte är så farligt.

Det andra förslaget till förbättring som Apple prioriterat ner, är att sandlådan som ska kolla om HTML-kod är skadlig inte är kopplad till de lokala resurserna. I sitt svar till Dhanjani säger Apple att det nog behöver tänka en stund.

Källa: Nitesh Dhanjanis blogg