Ars Longa, Vita Brevis

Insecure By Design, или, Не там уязвимости ищите, товарищи!

Всё-таки как можно переставить всё с ног на голову… Прочитал сегодня статью на CNews.com; она небольшая, привожу полностью:

Исследователь безопасности разработал сайт, наглядно демонстрирующий риск, с которым сталкиваются пользователи Windows при использовании браузера Safari от Apple.

ИБ-команда Microsoft уже предупредила, что «смешанная угроза» настолько серьезна, что пользователям Windows следует ограничить использование Safari до тех пор, пока не выйдет патч. В своем блоге исследователь Лю Ди Ю (Liu Die Yu) показал, что это предупреждение не было преувеличением.

При клике по указанной исследователем ссылке в Safari с настройками по умолчанию на рабочий стол пользователя Windows загружается файл-ловушка. В следующий раз, когда пользователь открывает Internet Explorer, файл автоматически запускает notepad.exe и открывает несуществующий файл. Разумеется, злоумышленники могут найти менее безобидное применение данной уязвимости, пишет The Register.

По словам Apple, уязвимость не является критической. Эта демонстрация свидетельствует об обратном.

Вопросы, возникающие при прочтении:

  1. Если уязвим Safari, почему нужно запускать Internet Explorer? На мой взгляд, найденная "смешанная уязвимость" свидетельствует о том, что ограничить нужно как раз-таки использование Ишака, пока Micro$oft не выпустит патч.
  2. Фраза "следует ограничить использование Safari до тех пор, пока не выйдет патч" — это свидетельство нечестной борьбы — более честным было бы выложить описание как изменить настройки Safari, чтобы не подвергать риску уязвимости Windows.

Озвучив для себя эти вопросы, я решил найти оригинал статьи, благо это было нетрудно.

Две фразы, которые мне очень понравились:

  1. Microsoft used some vague wording in the advisory: "Suggested Actions" are "Restrict use of Safari as a web browser…", as if it's a flaw rooted in <a href="http://blog.sjinks.org.ua/tag/safari/" class="st_tag internal_tag" rel="tag nofollow" title="Posts tagged wi