發佈時間:2008.05.20 07:55 來源:賽迪網 作者:劉彥青
【賽迪網訊】5月20日消息,據一名安全研究人員稱,蘋果Safari瀏覽器的下載機制中可能存在一個缺陷。
據國外媒體報導稱,安全研究人員加尼在其博客中寫道,無須獲得用戶允許,Sarfari 3.1就可以下載內容。加尼說,這一問題非常明顯:無須用戶同意,惡意軟件就會被下載到用戶桌面上。
最近有媒體報導稱,通過與iTunes和QuickTime等應用軟件捆綁,蘋果將Safari瀏覽器的市場份額提高了2倍。
Securosis.com的裡奇本週一表示,儘管自動下載功能在缺省狀態下不會遭遇這一問題,但這仍然意味著很大的安全風險。他說,在Windows系統中,下載的內容在缺省狀態下會下載到用戶的桌面上,黑客很容易就能誘騙用戶執行惡意軟件;在Mac OS X Leopard系統中,下載的內容會下載到「下載文件夾中,即使如此,如果黑客使用一個有吸引力的文件名,用戶仍然可能會受騙上當。
裡奇表示,蘋果顯然沒有考慮到這一點:黑客可能利用社會工程原理,通過有吸引力的文件名和圖標誘惑用戶運行惡意軟件。他說,這顯然是一個安全問題,蘋果應當盡快地修正這一問題。
但據加尼稱,他與蘋果的溝通表明,儘管蘋果認為在下載前獲得用戶允許是個好主意,但蘋果並不認為這是一個安全問題,也沒有在近期修正這一問題的計劃。
Gartner的副總裁瓦格納表示,他認為蘋果沒有意識到這一問題在安全方面的影響。他說,從安全角度看,在用戶不知情或沒有同意的情況下向用戶的PC下載任何數據和可執行代碼都應當被認為是一個問題。我認為蘋果應當優先修正這一問題。
(責任編輯:孫莉)
資料來源 http://news.ccidnet.com/art/953/20080520/1452207_1.html
留言列表
