Apple nie spieszy się z łataniem Safari

Microsoft bywa często krytykowany za zwlekanie z przygotowywaniem poprawek dla swoich produktów - ale okazuje się, że taka postawa nie jest wyjątkiem. Swoje za uszami ma również Apple - firma kierowana przez Steve'a Jobsa wciąż nie załatała luki w przeglądarce Safari, o której wie od ponad 2 lat.

 

O sprawie pisze serwis Computerword.com - chodzi o błąd w Safari, który w 2008 r. wykrył specjalista ds. bezpieczeństwa Nitesh Dhanjani. Luka ta umożliwia przeprowadzenie tzw. bombardowania dywanowego przeglądarki - błąd w Safari pozwala na skonstruowanie strony WWW, która po wyświetleniu może automatycznie, bez wiedzy użytkownika, zapisywać na dysku komputera pliki (np. złośliwe programy). Oczywiście, samo to nie wystarczy do zaatakowania komputera - bo dostarczony w ten sposób złośliwy plik trzeba jeszcze jakoś uruchomić. Ale faktem jest, że to błąd w zabezpieczeniach.

 

Apple początkowo zignorował odkrycie Dhanjani'ego - firma zainteresowała się problemem dopiero, gdy inny ekspert ds. bezpieczeństwa zaprezentował, jak wykorzystać ów błąd do skutecznego zaatakowania Windows. Wtedy też Apple udostępnił poprawkę dla Safari - ale tylko dla wersji windowsowej (mimo iż ten sam błąd występuje również w wydaniu dla Mac OS X).

 

Od tych wydarzeń minęły dwa lata - o sprawie przypomniał właśnie Nitesh Dhanjani, który napisał w swoim blogu, że Apple wciąż nie załatał owej luki:

 

Większość porządnych przeglądarek internetowych wyświetla ostrzeżenia przed pobraniem potencjalnie niebezpiecznego pliku - a Safari po prostu bez pytania pobiera pliki "serwowane" przez złośliwą stronę (...) Przeglądarka może symultanicznie pobierać bez wiedzy użytkownika nawet kilkaset plików.

 

Warto dodać, że nie wszyscy specjaliści ds. bezpieczeństwa się zgadzają z krytyką pod adresem Apple - słynny haker Charlie Miller twierdzi na przykład, że błąd jest co prawda dość niefortunny, ale obecnie nie stanowi zagrożenia dla użytkowników.

 

Daniel Cieślak

Więcej o: