研究称苹果Sarfari下载机制存缺陷或被感染

2008年5月20日消息，据一名安全研究人员称，苹果Safari浏览器的下载机制中可能存在一个缺陷。

据国外媒体报道称，安全研究人员加尼在其博客中写道，无须获得用户允许，Sarfari 3.1就可以下载内容。加尼说，这一问题非常明显：无须用户同意，恶意软件就会被下载到用户桌面上。

最近有媒体报道称，通过与iTunes和QuickTime等应用软件捆绑，苹果将Safari浏览器的市场份额提高了2倍。

Securosis.com的里奇本周一表示，尽管自动下载功能在缺省状态下不会遭遇这一问题，但这仍然意味着很大的安全风险。他说，在Windows系统中，下载的内容在缺省状态下会下载到用户的桌面上，黑客很容易就能诱骗用户执行恶意软件；在Mac OS X Leopard系统中，下载的内容会下载到“下载文件夹中，即使如此，如果黑客使用一个有吸引力的文件名，用户仍然可能会受骗上当。

里奇表示，苹果显然没有考虑到这一点：黑客可能利用社会工程原理，通过有吸引力的文件名和图标诱惑用户运行恶意软件。他说，这显然是一个安全问题，苹果应当尽快地修正这一问题。

但据加尼称，他与苹果的沟通表明，尽管苹果认为在下载前获得用户允许是个好主意，但苹果并不认为这是一个安全问题，也没有在近期修正这一问题的计划。

Gartner的副总裁瓦格纳表示，他认为苹果没有意识到这一问题在安全方面的影响。他说，从安全角度看，在用户不知情或没有同意的情况下向用户的PC下载任何数据和可执行代码都应当被认为是一个问题。我认为苹果应当优先修正这一问题。