Уязвимость в Safari позволяет завалить ПК вредоносным ПО

[SDA]

Исследование эксперта ИБ показало, что злоумышленники могут легко использовать браузер компании Apple Safari для заражения ПК вредоносными файлами.

По словам исследователя Нитеша Даньяни (Nitesh Dhanjani), Safari не спрашивает разрешения пользователя перед загрузкой ресурсов с веб-сайтов. Когда на сайте встречаются вредоносные элементы iframe и другие сценарии, браузер послушно выполняет то, что «диктует» веб-сайт, в том числе скачивает столько файлов, сколько есть соответствующих html-скриптов.

Когда появилась информация об этой уязвимости, названной «ковровой бомбардировкой» (как окрестил ее исследователь Билли Риос (Billy (BK) Rios)), Apple решила, что, возможно, было бы хорошо, чтобы Safari перед загрузкой файлов проверял их на безопасность.

Это достойно сожаления, пишет The Register, потому что уязвимость позволяет злоумышленникам завалить пользовательский ПК сотнями вредоносных файлов. Нейт МакФетерс (Nate McFeters) в Zero Day Blog отметил, что с помощью такой уязвимости нетрудно загрузить на рабочий стол файлы-ловушки, которые, к примеру, могут выглядеть как иконка Windows «Мой компьютер» - ничего не подозревающий пользователь может кликнуть по нему и запустить выполнение вредоносного кода.

cnews.ru

[drongo]

Я ещё в марте им на форуме написал что сафари нуждается в серьёзной доработке в плане безопасности, сказали разработчики не читают официальный форум, открыл 2 темы на их багтрекере - до сих пор в статусе Open, может теперь зашевелятся.

[ALEX(XX)]

Компания Apple отказалась устранять ошибку в браузере Safari, сообщает The Register. Специалист по информационной безопасности Нитеш Дханьяни (Nitesh Dhanjani) обнаружил, что Safari не предупреждает пользователя, если какой-либо компонент сайта (например, Iframe) собирается загрузить файл на компьютер. Дханьяни сообщил об этом разработчикам браузера, но те посчитали, что это не является проблемой безопасности, так что предупреждения о загрузке дополнительных файлов с сайта появится когда-нибудь при плановом обновлении Safari. Автор Zero Day Blog пишет, что с помощью этой уязвимости (известной как carpet bombing) можно легко загрузить через Safari на рабочий стол пользователя Windows ложный значок "Мой компьютер", открыв который, пользователь попадет на сайт злоумышленников или просто запустит вредоносную программу. В Mac OS X файлы по умолчанию принимаются в папку загрузки, а не на рабочий стол, но приятного в этом все равно мало. Кроме carpet bombing, Нитеш Дханьяни нашел еще одну уязвимость в Safari, которая действует обратным образом – сайт получает возможность кражи файлов с жесткого диска. Эту ошибку разработчики Apple признали и обещают выпустить патч в ближайшее время.
Источник

uinc.ru