Apple не исправила уязвимость двухлетней давности

Прошло два года с того времени, как компания Apple устранила уязвимость в версии для Windows своего веб-браузера Safari, но эта же ошибка в версии для OS X до сих пор не исправлена. Данная уязвимость была найдена специалистам по вопросам информационной безопасности Нитешем Данжани (Nitesh Dhanjani), а тип атаки, использующий ее, именуется "касетной бомбой" (тот, кто играл в компьютерную игру Worms, прекрасно знает, что это такое). Данжани в своем последнем интервью рассказал, что два года назад сообщил Apple об уязвимости, но руководство компании не посчитало ее критической и решило не тратить время на устранение проблемы. В мае 2008 года другой хакер, основываясь на найденной Данжани уязвимости, продемонстрировал процесс атаки "касетная бомба", которая позволяла запускать в среде операционной системы Windows вредоносные приложения. После этого Apple все же устранила ошибку, но только в Windows-версии браузера Safari. До сих пор никто из программистов не заявлял о возможности проведения подобной атаки в среде Mac OS X, но

Данжани настойчиво советует Apple прислушаться к его словам и исправить ошибку полностью. Во время атаки "касетная бомба" пользователь посещает зараженный веб-сайт, с которого на компьютер без каких либо предупреждений загружается вредоносная программа. "В то время, как большинство браузеров спрашивают, куда сохранить файл, и просят разрешения на его исполнение, Safari для Mac OS X без каких либо сообщений загружает файл в стандартную папку, выбранную для загрузки файлов" - написал Нитеш в блоге. "Аналогичная ситуация происходит даже в том случает, если инфицированный сайт отправляет на компьютер сотни вредоносных файлов. В современном мире со всеми его информационными угрозами... я бы не хотел, чтобы любой веб-сайт без спроса загружал на мой компьютер какие-то файлы, даже если они безопасны". Без применения других типов удаленных атак хакер не сможет запустить вредоносные файлы, загруженные на компьютер. Но даже нахождение подобных программ на локальных дисках компьютера является серьезной угрозой.

Не все ведущие специалисты по вопросам информационной безопасности согласны с Данжани. Чарли Миллер (Charlie Miller), известный во всем мире "взломщик" продуктов компании Apple, к счастью, законопослушный, считает, что вышеупомянутый баг не является серьезной угрозой, учитывая тот факт, что не существует уязвимости в Mac OS X, которая смогла бы удаленно запустить зараженные файлы на компьютере "Теоретически веб-сайт может незаметно сохранить исполняемый файл в папке загрузок. Это конечно неприятный факт, но никакого вреда от этого нет. В целом тот факт, что браузер каждый раз спрашивает, что делать с загружаемым файлом, не менее раздражителен для меня" - сказал он. Данжани считает, что Apple не устраняет уязвимость потому, что такой шаг вызовет недовольстве со стороны пользователей компьютеров Mac. "Подобный шаг скажется на удобстве использования браузера Safari. Apple пытается сделать все рутинные задачи фоновыми для того, чтобы они не досаждали пользователям". Официальных комментариев со стороны Apple пока не поступало, руководство компании относительно вопросов безопасности всегда было предельно молчаливым.