O błędzie tym poinformował kilka tygodni temu niezależny specjalista ds. bezpieczeństwa, Nitesh Dhanjani; problem nazwano "dywanową luką" - poprzez analogię do bombardowania dywanowego (chodziło o to, że system, w którym zainstalowana jest przeglądarka Safari może zostać "zbombardowany" niebezpiecznymi plikami przez odpowiednio spreparowaną stronę WWW).

Co ciekawe, dokładniejsze analizy wykazały, że sama luka w Safari nie jest specjalnie niebezpieczna - jednak w połączeniu z błędem w Internet Explorerze (który również nie jest specjalnie niebezpieczny) może być wykorzystany do zaatakowania systemu Windows. Microsoft zaraz po pojawieniu się tej informacji potwierdził ją i zapowiedział, że udostępni odpowiednie uaktualnienie. Przedstawiciele Apple zajęli zupełnie inne stanowisko - od początku twierdzili, że opisany przez Dhanjaniego problem nie jest luką w zabezpieczeniach i nie wymaga łatania. Pisaliśmy o tym m.in. w tekście "Wspólna luka Safari i IE - jest exploit".

Firma została za takie podejście ostro skrytykowana - m.in. przez organizację Stopbadware.org. Krytyka najwyraźniej przyniosła zamierzony skutek, bowiem Apple właśnie załatał błąd w Safari. Usunięto go w udostępnionej wczoraj wersji 3.1.2 Safari dla Windows - oprócz tej luki, w programie załatano również trzy inne poważne usterki (dotyczące m.in. renderowania obiektów JavaScript oraz pobierania plików .exe).

Uaktualnienie 3.1.2 przeznaczone jest tylko dla użytkowników windowsowej wersji Safari - wydania dla Maka nie udostępniono.

Warto podkreślić, że problem związany z pobieraniem plików nie dotyczy wyłącznie Windows - Safari nie pyta o pobieranie plików również w Mac OS X. W systemie Apple'a zagrożenie jest jednak mniejsze, bowiem platformy nie dotyczy drugi problem (tzn. luka w Internet Explorerze), dlatego też nie jest możliwe przeprowadzenie ataku wykorzystującego dwie luki. Co więcej, Nitesh Dhanjani zwraca uwagę, że w Mac OS X pliki po pobraniu domyślnie zapisywane są w specjalnym folderze (w Windows - na pulpicie) - to dodatkowo zmniejsza niebezpieczeństwo wykorzystania ich do przeprowadzenia ataku. "Decyzja Apple o załataniu w pierwszej kolejności windowsowej wersji Safari wydaje się sensowna - w końcu to na tej platformie istnieje realne niebezpieczeństwo wykorzystania tego błędu do zaatakowania systemu. Ale problem powinien z czasem zostać rozwiązany również w wydaniu dla Mac OS X - to, że w tej chwili nie ma metody wykorzystania tej luki do zaatakowania Maka nie znaczy, że nie jest to błąd w zabezpieczeniach. Będę bardzo zdziwiony, jeśli Apple nie załata również tej wersji" - komentuje specjalista.

Nitesh Dhanjani podkreślił także, że od momentu ogłoszenia przez niego informacji o problemie (co nastąpiło kilka tygodni temu) nie kontaktowali się z nim przedstawiciele Apple'a.

Pobierz Safari dla Windows 3.1.2 PL