Antivírus blog

vírusok, férgek, botnetek, kártevők

Sebezhetőségek a Safariban

2008. május 19. 15:11 - Csizmazia Darab István [Rambo]

Úgy tűnik, a Safari böngészőre is rájár a rúd. Az Apple programjában egy Nitesh Dhanjani nevű úriember több sérülékenységre is figyelmeztetett.



A három különféle hiba közül az egyik bizalmas adatok szivárgását teszi lehetővé. A kutató szerint a hibák mindegyike kritikus, erről bővebben a blogjában olvashatunk Safari Carpet Bomb címmel. Itt találhatjuk a beszámolót, köztük egy IFRAME-es mintapéldát képernyőképpel is láthatunk a "szőnyegbombázásról", ami lényegében azt mutatja be, hogy egy preparált weboldalon a felhasználó jóváhagyása nélkül lehet káros tartalmakat a számítógépre letölteni Windows és OSX rendszeren. Ki ki eldöntheti, hogy mennyire valósak a jelzett veszélyek. Érdekes, hogy az Apple csak az egyiknél ígért gyors javítást, a másik két esetben időt kért illetve nem tartotta kritikusnak a problémát.



Sok MacIntosh tulajdonos használ ettől függetlenül Firefoxot, hiszen az nagyságrendekkel kényelmesebb illetve testreszabhatóbb böngésző, és szabadon elérhető mindhárom platformon: Windows, Linux, Mac. (Safari és IE csak több-kevesebb hackeléssel létezik Linux alatt)



A Macen egyébként eléggé biztonságban érezhetik magukat a felhasználók, a nagy tömegben áradó Windowsos vírusok mellett eddig csak olyan kártevők bukkantak fel, amelyek kísérleti kódként, minden esetben a felhasználó aktív közreműködését megkívánva (kattintani kellett rá) tudtak csak futni, és ezek is csak mutatóba jelentkeztek.



A mostani rések egyébként nem az elsők ebben a böngészőben, a Secunia adatai szerint már 59 esetben tettek közzé valamilyen szintű riasztást a honlapjukon, persze egy Internet Explorerhez képest ez a szám szinte elenyésző.



Ami a Mac-en és a Linuxon is probléma lehet a biztonság szempontjából, az a hivatalos és ellenőrzött szoftvercsatornákon, tárolókon kívüli szoftverek telepítése. Az ismeretlen forrásból származó programok (video kodekek, alkalmazások) közé nem lehetetlen egy trójai kódot becsempészni - persze ezeket előbb-utóbb ugyan felfedezik, de addig is kárt okoznak. Ám egy idő után egyre jobban számolni kell majd az olyan kihasználható résekkel is, amelyek XSS, Flash-be ágyazott, SQL injection, más böngészőbeli eltérítés, vagy egyéb trükk kihasználása révén következik be. Csak érdekességképpen a  2007-es CanSecWesten láthattuk, hogy ott egy nulladik napi Safari sebezhetőség révén sikerült egy MacBookot feltörni, de igen tanulságos volt az idei meccs is, ahol a tanulság semmiképpen sem az volt, hogy lám a Mac esett el elsőnek, a Win és Ubuntu pedig később (ez inkább azért történhetett, mert mindenki MacBookot akart nyerni ;-), hanem inkább az: legyőzhetetlen rendszer gyakorlatilag nem létezik.
Szólj hozzá!

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr3476794

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.