微軟警告用戶：蘋果軟件威脅系統(tǒng)安全

微軟下屬一家一直不斷地忙于向其用戶提供關(guān)于其產(chǎn)品安全問題建議的公司Redmond，現(xiàn)在正在給用戶們提供意見，指出一個組合安全威脅涉及到了在Windows上運(yùn)行蘋果的Safari網(wǎng)頁瀏覽器的用戶。

這項威脅可能讓Safari瀏覽器下載一個Windows無法執(zhí)行的惡意文件。盡管從蘋果公司方面沒有這個問題的修補(bǔ)程序，微軟建議建立一個工作區(qū)來解決這個問題。

“安全咨詢并不涉及Safari瀏覽器或Windows 的缺陷，”微軟安全響應(yīng)通訊部的領(lǐng)導(dǎo)Tim Rains在發(fā)送給InternetNews.com的一份聲明中如此說道 。

“相反，它介紹了一種組合威脅，即文件無需提示就可以自動下載到用戶的電腦里并可以得到執(zhí)行。這個結(jié)果來自于Safari 默認(rèn)的下載位置以及Windows桌面處理可執(zhí)行文件的方式”。

研究員Nitesh Dhanajani于5月15日公開披露了在Safari上的問題。Dhanajani在他討論安全風(fēng)險時將此問題描述為一個'Safari地毯炸彈'。

Dhanajani解釋說，Safari 讓惡意網(wǎng)站利用不需提示同意的資源下載將用戶'地毯式爆破'了。那些下載最終落戶在Windows桌面上一個預(yù)設(shè)的位置。

組合威脅的部分來自于Windows在某些情況下處理資源下載的方式。微軟的咨詢指出，下載的惡意內(nèi)容可以像權(quán)限登錄用戶一樣在本地運(yùn)行。

“微軟和蘋果安全團(tuán)隊如今已相互取得聯(lián)系，并一起為此工作” Rains說道。

蘋果發(fā)言人沒有立即就此事發(fā)表評論。

Rains在他的電子郵件中指出，如果更改了Safari瀏覽器下載內(nèi)容到本地驅(qū)動器的默認(rèn)位置，微軟的Windows用戶是不會受到這個脆弱狀況的影響的。

不過，僅僅簡單地改變Safari 的默認(rèn)下載位置也許并不能提供足夠的保護(hù)，至少安全研究viv Raff的意思是這樣。在一篇博客帖子里， Raff指出，因為這個組合攻擊還引發(fā)了他先前曾報道過的Internet Explorer的老毛病，此刻他正與微軟就這個問題一起在努力。

“目前我已經(jīng)決定不公開透露任何進(jìn)一步的細(xì)節(jié)，直到微軟或蘋果電腦提供修補(bǔ)程序為止 ”，Raff 寫道?！拔抑荒苷f，微軟建立一個工作區(qū)的建議是不夠的” 。

Raff聲稱，這個組合威脅的性質(zhì)是，即使改變了Apple的Safari 上的默認(rèn)下載位置，這個威脅仍然可以成功地得到開發(fā)。

“目前最好的解決辦法是停止使用Safari ，直到蘋果修復(fù)了其缺陷為止 ”，Raff說。

蘋果的Safari網(wǎng)頁瀏覽器自2007年6月就已向Windows的使用者開放。

作者：冷水柚