Уязвимость в Safari позволяет завалить ПК вредоносным ПО
Исследование эксперта ИБ показало, что злоумышленники могут легко использовать браузер компании Apple Safari для заражения ПК вредоносными файлами.
По словам исследователя Нитеша Даньяни (Nitesh Dhanjani), Safari не спрашивает разрешения пользователя перед загрузкой ресурсов с веб-сайтов. Когда на сайте встречаются вредоносные элементы iframe и другие сценарии, браузер послушно выполняет то, что "диктует" веб-сайт, в том числе скачивает столько файлов, сколько есть соответствующих html-скриптов.
Когда появилась информация об этой уязвимости, названной "ковровой бомбардировкой" (как окрестил ее исследователь Билли Риос (Billy (BK) Rios)), Apple решила, что, возможно, было бы хорошо, чтобы Safari перед загрузкой файлов проверял их на безопасность.
Это достойно сожаления, пишет The Register, потому что уязвимость позволяет злоумышленникам завалить пользовательский ПК сотнями вредоносных файлов. Нейт МакФетерс (Nate McFeters) в Zero Day Blog отметил, что с помощью такой уязвимости нетрудно загрузить на рабочий стол файлы-ловушки, которые, к примеру, могут выглядеть как иконка Windows "Мой компьютер" - ничего не подозревающий пользователь может кликнуть по нему и запустить выполнение вредоносного кода.
По словам исследователя Нитеша Даньяни (Nitesh Dhanjani), Safari не спрашивает разрешения пользователя перед загрузкой ресурсов с веб-сайтов. Когда на сайте встречаются вредоносные элементы iframe и другие сценарии, браузер послушно выполняет то, что "диктует" веб-сайт, в том числе скачивает столько файлов, сколько есть соответствующих html-скриптов.
Когда появилась информация об этой уязвимости, названной "ковровой бомбардировкой" (как окрестил ее исследователь Билли Риос (Billy (BK) Rios)), Apple решила, что, возможно, было бы хорошо, чтобы Safari перед загрузкой файлов проверял их на безопасность.
Это достойно сожаления, пишет The Register, потому что уязвимость позволяет злоумышленникам завалить пользовательский ПК сотнями вредоносных файлов. Нейт МакФетерс (Nate McFeters) в Zero Day Blog отметил, что с помощью такой уязвимости нетрудно загрузить на рабочий стол файлы-ловушки, которые, к примеру, могут выглядеть как иконка Windows "Мой компьютер" - ничего не подозревающий пользователь может кликнуть по нему и запустить выполнение вредоносного кода.
Ещё новости по теме:
18:20