|
||||
一位研究人員創建了一個概念證明網站,用圖片演示了Windows用戶在使用苹果的Safari瀏覽器的時候面臨的風險。
微軟安全團隊已經警告稱,這種『混合威脅』非常嚴重,Windows用戶在微軟提供安全補丁之前不要使用苹果的Safari瀏覽器。這位名叫Liu Die Yu研究人員在博客中明確指出,微軟的警告絕不是危言聳聽。
用戶鼠標點擊這個鏈接(http://liudieyu.com/iesafari200806.2885391780966027/)用使用默認設置的Safari瀏覽器向Windows臺式電腦自動下載一個陷阱文件,沒有任何提示。這個用戶下一次打開IE瀏覽器的時候,這個強制輸入的文件將自動啟動notepad.exe應用程序並且打開一個不存在的文件。當然,惡意的攻擊者會選擇讓用戶打開惡意的代碼。
當獲悉其瀏覽器沒有發出任何提示就下載文件的消息之後,苹果表示它也許會采取措施改正其瀏覽器的這種行為,也許不會采取任何措施。換句話說,從安全的角度說,這不是一個大問題。然而,這個演示卻說明了另外一種情況。
IE瀏覽器似乎是自動執行用戶臺式電腦中埋藏的奇怪文件中的指令。因此,它肯定是這個問題的根源。微軟在警告這種混合威脅的時候也是這樣說的。如果微軟在每月的安全更新中修復這個安全漏洞,我們不會感到意外。