微軟下屬一家一直不斷地忙于向其用戶提供關于其產品安全問題建議的公司Redmond,現在正在給用戶們提供意見,指出一個組合安全威脅涉及到了在Windows上運行蘋果的Safari網頁瀏覽器的用戶。
這項威脅可能讓Safari瀏覽器下載一個Windows無法執行的惡意文件。盡管從蘋果公司方面沒有這個問題的修補程序,微軟建議建立一個工作區來解決這個問題。
“安全咨詢并不涉及Safari瀏覽器或Windows 的缺陷,”微軟安全響應通訊部的領導Tim Rains在發送給InternetNews.com的一份聲明中如此說道 。
“相反,它介紹了一種組合威脅,即文件無需提示就可以自動下載到用戶的電腦里并可以得到執行。這個結果來自于Safari 默認的下載位置以及Windows桌面處理可執行文件的方式”。
研究員Nitesh Dhanajani于5月15日公開披露了在Safari上的問題。Dhanajani在他討論安全風險時將此問題描述為一個'Safari地毯炸彈'。
Dhanajani解釋說,Safari 讓惡意網站利用不需提示同意的資源下載將用戶'地毯式爆破'了。那些下載最終落戶在Windows桌面上一個預設的位置。
組合威脅的部分來自于Windows在某些情況下處理資源下載的方式。微軟的咨詢指出,下載的惡意內容可以像權限登錄用戶一樣在本地運行。
“微軟和蘋果安全團隊如今已相互取得聯系,并一起為此工作” Rains說道。
蘋果發言人沒有立即就此事發表評論。
Rains在他的電子郵件中指出,如果更改了Safari瀏覽器下載內容到本地驅動器的默認位置,微軟的Windows用戶是不會受到這個脆弱狀況的影響的。
不過,僅僅簡單地改變Safari 的默認下載位置也許并不能提供足夠的保護,至少安全研究viv Raff的意思是這樣。在一篇博客帖子里, Raff指出,因為這個組合攻擊還引發了他先前曾報道過的Internet Explorer的老毛病,此刻他正與微軟就這個問題一起在努力。
“目前我已經決定不公開透露任何進一步的細節,直到微軟或蘋果電腦提供修補程序為止 ”,Raff 寫道。“我只能說,微軟建立一個工作區的建議是不夠的” 。
Raff聲稱,這個組合威脅的性質是,即使改變了Apple的Safari 上的默認下載位置,這個威脅仍然可以成功地得到開發。
“目前最好的解決辦法是停止使用Safari ,直到蘋果修復了其缺陷為止 ”,Raff說。
蘋果的Safari網頁瀏覽器自2007年6月就已向Windows的使用者開放。
作者:冷水柚
