Dziury w Safari i IE - niebezpieczny duet

Aviv Raff, niezależny specjalista ds. bezpieczeństwa, odkrył, że dwie niezależne, średnio groźne luki w zabezpieczeniach przeglądarek Internet Explorer oraz Safari wspólnie narażają użytkowników systemu Windows na atak złośliwego kodu.

Błąd w Safari znany jest od połowy maja - chodzi to o dość kontrowersyjny problem (Apple w ogóle nie uważa go za błąd w zabezpieczeniach), polegający na tym, iż Safari nie pyta użytkownika, czy na pewno chce on pobrać ze strony WWW jakiś plik. Zdaniem specjalistów (m.in. z organizacji Stopbadwar.org) jest to luka, która naraża użytkowników na tzw. bombardowanie dywanowe (pozwala bowiem na stworzenie strony, która może próbować skopiować na dysk komputera niebezpieczne pliki).

Gdy informacja na temat tej luki pojawiła się w Sieci "wziął ją na warsztat" znany izraelski specjalista ds. bezpieczeństwa, Aviv Raff. Odkrył on, że choć błąd w Safari nie sam w sobie jest specjalnie niebezpieczny, to jednak w połączeniu z pewnym błędem w przeglądarce Internet Explorer może on zostać wykorzystany do zaatakowania systemu Windows i uruchomienia w nim złośliwego kodu. "Oba błędy samodzielnie są tylko umiarkowanie groźne - jednak gdy zastosuje się metodę ataku wykorzystującą obie słabości, problem staje się krytyczny" - mówi Raff. Izraelczyk stworzył przykładowego exploita, ilustrującego przebieg ataku i dowodzącego, że jest on możliwy.

Microsoft potwierdził już problem - firma opublikowała alert bezpieczeństwa w tej sprawie i zapowiedziała, że wkrótce przygotuje odpowiednią poprawkę dla IE (prawdopodobnie pojawi się ona w drugi wtorek czerwca). Nie wiadomo, co zrobi Apple - producent Safari na razie odmawia uznania problemu za lukę w zabezpieczeniach.


Zobacz również