微软下属一家一直不断地忙于向其用户提供关于其产品安全问题建议的公司Redmond,现在正在给用户们提供意见,指出一个组合安全威胁涉及到了在Windows上运行苹果的Safari网页浏览器的用户。
这项威胁可能让Safari浏览器下载一个Windows无法执行的恶意文件。尽管从苹果公司方面没有这个问题的修补程序,微软建议建立一个工作区来解决这个问题。
“安全咨询并不涉及Safari浏览器或Windows 的缺陷,”微软安全响应通讯部的领导Tim Rains在发送给InternetNews.com的一份声明中如此说道 。
“相反,它介绍了一种组合威胁,即文件无需提示就可以自动下载到用户的电脑里并可以得到执行。这个结果来自于Safari 默认的下载位置以及Windows桌面处理可执行文件的方式”。
研究员Nitesh Dhanajani于5月15日公开披露了在Safari上的问题。Dhanajani在他讨论安全风险时将此问题描述为一个'Safari地毯炸弹'。
Dhanajani解释说,Safari 让恶意网站利用不需提示同意的资源下载将用户'地毯式爆破'了。那些下载最终落户在Windows桌面上一个预设的位置。
组合威胁的部分来自于Windows在某些情况下处理资源下载的方式。微软的咨询指出,下载的恶意内容可以像权限登录用户一样在本地运行。
“微软和苹果安全团队如今已相互取得联系,并一起为此工作” Rains说道。
苹果发言人没有立即就此事发表评论。
Rains在他的电子邮件中指出,如果更改了Safari浏览器下载内容到本地驱动器的默认位置,微软的Windows用户是不会受到这个脆弱状况的影响的。
不过,仅仅简单地改变Safari 的默认下载位置也许并不能提供足够的保护,至少安全研究viv Raff的意思是这样。在一篇博客帖子里, Raff指出,因为这个组合攻击还引发了他先前曾报道过的Internet Explorer的老毛病,此刻他正与微软就这个问题一起在努力。
“目前我已经决定不公开透露任何进一步的细节,直到微软或苹果电脑提供修补程序为止 ”,Raff 写道。“我只能说,微软建立一个工作区的建议是不够的” 。
Raff声称,这个组合威胁的性质是,即使改变了Apple的Safari 上的默认下载位置,这个威胁仍然可以成功地得到开发。
“目前最好的解决办法是停止使用Safari ,直到苹果修复了其缺陷为止 ”,Raff说。
苹果的Safari网页浏览器自2007年6月就已向Windows的使用者开放。
作者:冷水柚
