微软日前发出警告,称一个之前在Safari浏览器上发现的漏洞将有可能导致Windows用户遭到攻击。
这个Safari浏览器上的bug最初在上月15号被安全研究人员Nitesh Dhanjani发现,攻击者可以将任意可执行文件置于受害者的桌面,导致称为“地毯式轰炸(Carpet Bombing)”的攻击。
Dhanjani称:“之所以出现这种情况,是因为Safari在下载内容前不需要得到用户的同意,Safari总是不经用户同意下载资源,并将其存储在默认位置,除非已经对默认地址进行修改,用户可能对下载到本地硬盘的大量恶意软件并不知晓”。
微软关于此问题发表了一份安全建议,对这一安全风险做了解释,建议所有在Windows上安装了Safari的用户对Safari的默认下载路径进行修改以规避该风险。
