Компания Apple отказалась устранять ошибку в браузере Safari.
Специалист по информационной безопасности Нитеш Дханьяни (Nitesh Dhanjani) обнаружил, что Safari не предупреждает пользователя, если какой-либо компонент сайта (например, Iframe) собирается загрузить файл на компьютер.
Дханьяни сообщил об этом разработчикам браузера, но те посчитали, что это не является проблемой безопасности. Поэтому предупреждения о загрузке дополнительных файлов с сайта появится когда-нибудь при плановом обновлении Safari, сообщает The Register.
С помощью этой уязвимости (carpet bombing) можно легко загрузить через Safari на рабочий стол пользователя Windows ложный значок “Мой компьютер”. Открыв его, пользователь попадет на сайт злоумышленников или просто запустит вредоносную программу.
Кроме carpet bombing, Нитеш Дханьяни нашел еще одну уязвимость в Safari, которая действует обратным образом – сайт получает возможность кражи файлов с жесткого диска. Эту ошибку разработчики Apple признали и обещают выпустить патч в ближайшее время.
Напомним, эти две уязвимости – далеко не первые в “самом лучшем” браузере Apple. Недавно даже платежная система PayPal предупредила пользователей о нежелательности использования Safari для осуществления трансакций, так как в этой программе, по мнению PayPal, недостаточно хорошо реализована защита от фишинга.
