微軟警告用戶(hù)：蘋(píng)果軟件威脅系統(tǒng)安全

微軟下屬一家一直不斷地忙于向其用戶(hù)提供關(guān)于其產(chǎn)品安全問(wèn)題建議的公司Redmond，現(xiàn)在正在給用戶(hù)們提供意見(jiàn)，指出一個(gè)組合安全威脅涉及到了在Windows上運(yùn)行蘋(píng)果的Safari網(wǎng)頁(yè)瀏覽器的用戶(hù)。

這項(xiàng)威脅可能讓Safari瀏覽器下載一個(gè)Windows無(wú)法執(zhí)行的惡意文件。盡管從蘋(píng)果公司方面沒(méi)有這個(gè)問(wèn)題的修補(bǔ)程序，微軟建議建立一個(gè)工作區(qū)來(lái)解決這個(gè)問(wèn)題。

“安全咨詢(xún)并不涉及Safari瀏覽器或Windows 的缺陷，”微軟安全響應(yīng)通訊部的領(lǐng)導(dǎo)Tim Rains在發(fā)送給InternetNews.com的一份聲明中如此說(shuō)道 。

“相反，它介紹了一種組合威脅，即文件無(wú)需提示就可以自動(dòng)下載到用戶(hù)的電腦里并可以得到執(zhí)行。這個(gè)結(jié)果來(lái)自于Safari 默認(rèn)的下載位置以及Windows桌面處理可執(zhí)行文件的方式”。

研究員Nitesh Dhanajani于5月15日公開(kāi)披露了在Safari上的問(wèn)題。Dhanajani在他討論安全風(fēng)險(xiǎn)時(shí)將此問(wèn)題描述為一個(gè)'Safari地毯炸彈'。

Dhanajani解釋說(shuō)，Safari 讓惡意網(wǎng)站利用不需提示同意的資源下載將用戶(hù)'地毯式爆破'了。那些下載最終落戶(hù)在Windows桌面上一個(gè)預(yù)設(shè)的位置。

組合威脅的部分來(lái)自于Windows在某些情況下處理資源下載的方式。微軟的咨詢(xún)指出，下載的惡意內(nèi)容可以像權(quán)限登錄用戶(hù)一樣在本地運(yùn)行。

“微軟和蘋(píng)果安全團(tuán)隊(duì)如今已相互取得聯(lián)系，并一起為此工作” Rains說(shuō)道。

蘋(píng)果發(fā)言人沒(méi)有立即就此事發(fā)表評(píng)論。

Rains在他的電子郵件中指出，如果更改了Safari瀏覽器下載內(nèi)容到本地驅(qū)動(dòng)器的默認(rèn)位置，微軟的Windows用戶(hù)是不會(huì)受到這個(gè)脆弱狀況的影響的。

不過(guò)，僅僅簡(jiǎn)單地改變Safari 的默認(rèn)下載位置也許并不能提供足夠的保護(hù)，至少安全研究viv Raff的意思是這樣。在一篇博客帖子里， Raff指出，因?yàn)檫@個(gè)組合攻擊還引發(fā)了他先前曾報(bào)道過(guò)的Internet Explorer的老毛病，此刻他正與微軟就這個(gè)問(wèn)題一起在努力。

“目前我已經(jīng)決定不公開(kāi)透露任何進(jìn)一步的細(xì)節(jié)，直到微軟或蘋(píng)果電腦提供修補(bǔ)程序?yàn)橹?”，Raff 寫(xiě)道?！拔抑荒苷f(shuō)，微軟建立一個(gè)工作區(qū)的建議是不夠的” 。

Raff聲稱(chēng)，這個(gè)組合威脅的性質(zhì)是，即使改變了Apple的Safari 上的默認(rèn)下載位置，這個(gè)威脅仍然可以成功地得到開(kāi)發(fā)。

“目前最好的解決辦法是停止使用Safari ，直到蘋(píng)果修復(fù)了其缺陷為止 ”，Raff說(shuō)。

蘋(píng)果的Safari網(wǎng)頁(yè)瀏覽器自2007年6月就已向Windows的使用者開(kāi)放。

作者：冷水柚