Nitesh Dhanjani ha rilasciato questa mattina informazioni su alcune delle sue più recenti ricerche sul browser web Safari e, cosa abbastanza interessante, Apple ha deciso di NON risolvere alcuni dei problemi presentati. Dhanjani ha segnalato tre problemi, come segue dal suo blog: 1.
Dhanjani ha segnalato tre problemi, come segue dal suo blog:
1. Bomba sul tappeto del safari.È possibile che un sito Web non autorizzato riempia il desktop dell'utente (Windows) o la directory dei download (~/Downloads/ in OSX). Ciò può verificarsi perché il browser Safari non può essere configurato per ottenere l'autorizzazione dell'utente prima di scaricare una risorsa. Safari scarica la risorsa senza il consenso dell'utente e la inserisce in una posizione predefinita (a meno che non venga modificata).
Supponiamo che tu visiti un sito dannoso,
http://malicious.example.com/, che serve il seguente codice HTML:...
Ora supponiamolo
http://malicious.example.com/cgi-bin/carpet_bomb.cgiè il seguente:#!/usr/bin/perl. print "Content-type: blah/blah\n\n"Poiché Safari non sa come eseguire il renderingcontent-typeDiblah/blah, il download inizierà automaticamentecarpet_bomb.cgiogni volta che viene servito. Se utilizzi Safari in Windows, questo è ciò che accadrà al tuo desktop una volta visitato http://malicious.example.com/:La conseguenza di ciò è ovvia: malware scaricato sul desktop dell'utente senza il suo consenso.
Apple non ritiene che questo sia un problema da affrontare in questo momento.
Nella mia email più recente ad Apple, ho suggerito di incorporare un'opzione in Safari in modo che il browser possa essere configurato per chiedere all'utente prima che qualsiasi cosa venga scaricata nel file system locale. Apple ha convenuto che fosse un buon suggerimento:
...la possibilità di avere una preferenza su "Chiedimi prima di scaricare qualsiasi cosa" è un buon suggerimento. Possiamo archiviarlo come richiesta di miglioramento per il team di Safari. Tieni presente che non stiamo trattando questo come un problema di sicurezza, ma un'ulteriore misura per alzare il livello contro i download indesiderati. Ciò richiederà una revisione con il team di Human Interface. Vogliamo stabilire le vostre aspettative sul fatto che ciò potrebbe richiedere del tempo, se mai verrà incorporato.
[grazie a BK Have-it-your-way Rios per aver suggerito il termine "bomba a tappeto" per descrivere questo problema].
Speriamo che Apple aggiunga almeno il suggerimento menzionato da Nitesh. Considero questo un grave problema di sicurezza. A meno che io non sia fuori strada, qualcuno potrebbe creare un pezzo di malware, chiamarlo "Risorse del computer", dargli un'icona che assomigliasse proprio all'icona "Risorse del computer" e sparpagliarlo sul desktop di qualcuno. La mia ipotesi è che più di poche persone farebbero doppio clic su questo, rendendo questo un problema serio.
Fai clic su Leggi di più qui sotto per leggere il resto...
Nitesh continua:
2. Sandbox non applicato alle risorse locali. Questo problema è più una richiesta di set di funzionalità che una vulnerabilità. Ad esempio, Internet Explorer avvisa gli utenti quando una risorsa locale come un file HTML tenta di richiamare lo scripting lato client. Ritengo che questa sia una caratteristica di sicurezza importante a causa delle aspettative degli utenti: anche gli utenti più sofisticati distinguono tra il rischio di cliccando su un eseguibile scaricato (rischio percepito maggiore) che cliccando su un file HTML scaricato (rischio percepito maggiore) inferiore).
La risposta di Apple è stata positiva: ...abbiamo studiato il potenziale per una modalità "sicura" per l'HTML locale. Si tratta di un'area che richiede un'indagine abbastanza approfondita per risolvere problemi di compatibilità e per determinare il corretto funzionamento. Ti preghiamo di comprendere che quando etichettiamo questa misura come una misura di rafforzamento della sicurezza, non stiamo sottovalutando i vantaggi che ciò potrebbe avere.
Ok, con questo sono soddisfatto della risposta di Apple e sono d'accordo con il loro piano d'azione.
3. [Non dichiarato]. Il terzo problema che ho segnalato ad Apple riguarda una vulnerabilità ad alto rischio in Safari che può essere utilizzata per rubare in remoto file locali dal file system dell'utente. Apple ha risposto positivamente e mi ha fatto sapere che sta lavorando attivamente per risolvere il problema e rilasciare una patch. Pubblicherò un aggiornamento se avrò loro risposta.
Vorrei ringraziare il team di sicurezza di Apple per le risposte tempestive e per avermi permesso di discutere questi problemi con la comunità della sicurezza.
La posizione di Apple su alcuni di questi problemi è preoccupante. Per ora, rinuncio alle mie ricerche su Mac OS X perché temo che Nitesh mi metterà a dura prova.
-Nate.