苹果Sarfari下载机制存缺陷或被感染
  • 转载
  • 2008年05月20日 16:13
  • 0

据一名安全研究人员称,苹果Safari浏览器的下载机制中可能存在一个缺陷。

据报道称,安全研究人员加尼在其博客中写道,无须获得用户允许,Sarfari 3.1就可以下载内容。加尼说,这一问题非常明显:无须用户同意,恶意软件就会被下载到用户桌面上。

最近有媒体报道称,通过与iTunes和QuickTime等应用软件捆绑,苹果将Safari浏览器的市场份额提高了2倍。

Securosis.com的里奇本周一表示,尽管自动下载功能在缺省状态下不会遭遇这一问题,但这仍然意味着很大的安全风险。他说,在Windows系统中,下载的内容在缺省状态下会下载到用户的桌面上,黑客很容易就能诱骗用户执行恶意软件;在Mac OS X Leopard系统中,下载的内容会下载到“下载文件夹中,即使如此,如果黑客使用一个有吸引力的文件名,用户仍然可能会受骗上当。

里奇表示,苹果显然没有考虑到这一点:黑客可能利用社会工程原理,通过有吸引力的文件名和图标诱惑用户运行恶意软件。他说,这显然是一个安全问题,苹果应当尽快地修正这一问题。

但据加尼称,他与苹果的沟通表明,尽管苹果认为在下载前获得用户允许是个好主意,但苹果并不认为这是一个安全问题,也没有在近期修正这一问题的计划。

Gartner的副总裁瓦格纳表示,他认为苹果没有意识到这一问题在安全方面的影响。他说,从安全角度看,在用户不知情或没有同意的情况下向用户的PC下载任何数据和可执行代码都应当被认为是一个问题。我认为苹果应当优先修正这一问题。

文章纠错

  • 好文点赞
  • 水文反对
观点发布 网站评论、账号管理说明
热门评论
查看全部评论
相关报道

最热文章排行查看排行详情

邮件订阅

评论0 | 点赞0| 分享0 | 收藏0