Доказана критичность уязвимости в Safari для Windows
Insecure By Design, или, Не там уязвимости ищите, товарищи!
Всё-таки как можно переставить всё с ног на голову… Прочитал сегодня статью на CNews.com; она небольшая, привожу полностью:
Исследователь безопасности разработал сайт, наглядно демонстрирующий риск, с которым сталкиваются пользователи Windows при использовании браузера Safari от Apple.ИБ-команда Microsoft уже предупредила, что «смешанная угроза» настолько серьезна, что пользователям Windows следует ограничить использование Safari до тех пор, пока не выйдет патч. В своем блоге исследователь Лю Ди Ю (Liu Die Yu) показал, что это предупреждение не было преувеличением.
При клике по указанной исследователем ссылке в Safari с настройками по умолчанию на рабочий стол пользователя Windows загружается файл-ловушка. В следующий раз, когда пользователь открывает Internet Explorer, файл автоматически запускает
notepad.exe
и открывает несуществующий файл.Разумеется, злоумышленники могут найти менее безобидное применение данной уязвимости, пишет The Register.По словам Apple, уязвимость не является критической. Эта демонстрация свидетельствует об обратном.
Вопросы, возникающие при прочтении:
- Если уязвим Safari, почему нужно запускать Internet Explorer? На мой взгляд, найденная "смешанная уязвимость" свидетельствует о том, что ограничить нужно как раз-таки использование Ишака, пока Micro$oft не выпустит патч.
- Фраза "следует ограничить использование Safari до тех пор, пока не выйдет патч" — это свидетельство нечестной борьбы — более честным было бы выложить описание как изменить настройки Safari, чтобы не подвергать риску уязвимости Windows.
Озвучив для себя эти вопросы, я решил найти оригинал статьи, благо это было нетрудно.
Две фразы, которые мне очень понравились: