Apple не собирается исправлять баг в Safari

Компания Apple отказалась устранять ошибку в браузере Safari, сообщает The Register. Специалист по информационной безопасности Нитеш Дханьяни (Nitesh Dhanjani) обнаружил, что Safari не предупреждает пользователя, если какой-либо компонент сайта (например, Iframe) собирается загрузить файл на компьютер.

Дханьяни сообщил об этом разработчикам браузера, но те посчитали, что это не является проблемой безопасности, так что предупреждения о загрузке дополнительных файлов с сайта появится когда-нибудь при плановом обновлении Safari.

Автор Zero Day Blog пишет, что с помощью этой уязвимости (известной как carpet bombing) можно легко загрузить через Safari на рабочий стол пользователя Windows ложный значок "Мой компьютер", открыв который, пользователь попадет на сайт злоумышленников или просто запустит вредоносную программу. В Mac OS X файлы по умолчанию принимаются в папку загрузки, а не на рабочий стол, но приятного в этом все равно мало.

Кроме carpet bombing, Нитеш Дханьяни нашел еще одну уязвимость в Safari, которая действует обратным образом – сайт получает возможность кражи файлов с жесткого диска. Эту ошибку разработчики Apple признали и обещают выпустить патч в ближайшее время.

Напомним, эти две уязвимости – далеко не первые в "самом лучшем" браузере Apple. Недавно даже платежная система PayPal предупредила пользователей о нежелательности использования Safari для осуществления транзакций, так как в этой программе, по мнению PayPal, недостаточно хорошо реализована защита от фишинга.