أصدر Nitesh Dhanjani معلومات حول بعض أحدث أبحاثه حول متصفح الويب Safari هذا الصباح، ومن المثير للاهتمام أن شركة Apple قررت عدم إصلاح بعض المشكلات التي قدمها. ذكر دانجاني ثلاث قضايا، على النحو التالي من مدونته: 1.
أبلغ دانجاني عن ثلاث قضايا، على النحو التالي من مدونته:
1. قنبلة سفاري السجاد.من الممكن أن يقوم موقع ويب محتال بإلقاء القمامة على سطح مكتب المستخدم (Windows) أو دليل التنزيلات (~/التنزيلات/ في OSX). يمكن أن يحدث هذا لأنه لا يمكن تكوين متصفح Safari للحصول على إذن المستخدم قبل تنزيل المورد. يقوم Safari بتنزيل المورد دون موافقة المستخدم ويضعه في موقع افتراضي (ما لم يتم تغييره).
لنفترض أنك قمت بزيارة موقع ضار،
http://malicious.example.com/، الذي يخدم HTML التالي:...
الآن افترض ذلك
http://malicious.example.com/cgi-bin/carpet_bomb.cgiهو ما يلي:#!/usr/bin/perl. print "Content-type: blah/blah\n\n"نظرًا لأن Safari لا يعرف كيفية العرضcontent-typeلblah/blah، سيبدأ التنزيل تلقائيًاcarpet_bomb.cgiفي كل مرة يتم تقديمه. إذا كنت تستخدم Safari في نظام التشغيل Windows، فهذا ما سيحدث لسطح المكتب الخاص بك بمجرد زيارتك http://malicious.example.com/:الآثار المترتبة على ذلك واضحة: يتم تنزيل البرامج الضارة على سطح مكتب المستخدم دون موافقة المستخدم.
لا تشعر شركة Apple بأن هذه مشكلة تريد معالجتها في الوقت الحالي.
في بريدي الإلكتروني الأخير إلى شركة Apple، اقترحت أن يقوموا بدمج خيار في Safari بحيث يمكن تكوين المتصفح ليطلب من المستخدم قبل تنزيل أي شيء إلى نظام الملفات المحلي. وافقت شركة Apple على أنه اقتراح جيد:
...إن القدرة على تفضيل "اسألني قبل تنزيل أي شيء" هي اقتراح جيد. يمكننا تقديم ذلك كطلب تحسين لفريق Safari. يرجى ملاحظة أننا لا نتعامل مع هذا الأمر باعتباره مشكلة أمنية، بل كإجراء إضافي لرفع مستوى الحماية ضد التنزيلات غير المرغوب فيها. سيتطلب هذا مراجعة مع فريق Human Interface. نريد أن نحدد توقعاتك بأن هذا قد يستغرق بعض الوقت، إذا تم دمجه.
[الفضل يعود إلى BK has-it-your-way Rios لاقتراح مصطلح "قنبلة السجاد" لوصف هذه المشكلة].
دعونا نأمل أن تضيف شركة Apple الاقتراح الذي ذكره Nitesh على الأقل. أرى أن هذا يمثل مشكلة أمنية كبيرة. ما لم أكن خارج نطاق السيطرة، يمكن لأي شخص إنشاء جزء من البرامج الضارة، ويسميها "جهاز الكمبيوتر"، ويعطيها رمزًا يشبه تمامًا رمز "جهاز الكمبيوتر"، وينشرها في جميع أنحاء سطح مكتب شخص ما. أعتقد أن أكثر من عدد قليل من الأشخاص سينقرون عليها نقرًا مزدوجًا، مما يجعل هذه مشكلة خطيرة.
انقر على قراءة المزيد أدناه لقراءة الباقي...
ويواصل نيتيش:
2. لا يتم تطبيق Sandbox على الموارد المحلية. هذه المشكلة هي عبارة عن طلب مجموعة ميزات أكثر من كونها ثغرة أمنية. على سبيل المثال، يحذر Internet Explorer المستخدمين عندما يحاول مورد محلي مثل ملف HTML استدعاء البرمجة النصية من جانب العميل. أشعر أن هذه ميزة أمنية مهمة بسبب توقعات المستخدم: حتى المستخدمين الأكثر تطوراً يفرقون بين مخاطر النقر على الملف القابل للتنفيذ الذي قاموا بتنزيله (يُنظر إلى المخاطر على أنها أعلى) للنقر على ملف HTML الذي قاموا بتنزيله (يُنظر إلى المخاطر على أنها أعلى) أدنى).
وكان رد أبل إيجابيا: ...لقد قمنا بالتحقق من إمكانية وجود وضع "آمن" لـ HTML المحلي. هذه منطقة تتطلب تحقيقًا عميقًا إلى حد ما لمعالجة مشكلات التوافق وتحديد التشغيل المناسب. يرجى أن تفهم أنه عندما نطلق على ذلك إجراءً لتشديد الأمان، فإننا لا نستبعد الفوائد التي يمكن أن يحققها ذلك.
حسنًا، أنا سعيد برد فعل Apple وأوافق على خطة عملهم.
3. [غير معلن]. المشكلة الثالثة التي أبلغتها لشركة Apple هي وجود ثغرة أمنية عالية الخطورة في Safari والتي يمكن استخدامها لسرقة الملفات المحلية عن بعد من نظام ملفات المستخدم. استجابت شركة Apple بشكل إيجابي وأخبرتني أنها تعمل بنشاط على حل المشكلة وإصدار تصحيح. سأقوم بنشر تحديث إذا تلقيت ردًا منهم.
أود أن أشكر فريق أمان Apple على استجاباتهم في الوقت المناسب وعلى السماح لي بمناقشة هذه المشكلات مع مجتمع الأمان.
إن موقف شركة Apple بشأن بعض هذه القضايا مثير للقلق. في الوقت الحالي، أتوقف عن إجراء بحثي حول نظام التشغيل Mac OS X لأنني أخشى أن يقوم Nitesh باختراق صندوقي.
-نيت.