Apple’s browser, Safari, bevat een kritiek lek. Dit lek zorgt ervoor dat een kwaadwillende website zomaar bestanden kan laten downloaden naar de computer. Er is geen gebruikershandeling vereist, hiervoor.
Men kan niet instellen dat zij eerst de downloads moeten accepteren, zodoende is het mogelijk de downloadfolder te vervuilen met virussen en andere malware. Volgens de onderzoeker, Nitesh Dhanjani werkzaam bij Ernst & Young, is het een tikkende tapijtbom.
Samen met twee andere lekken heeft de onderzoeker dit gerapporteerd aan Apple, die liet in een reactie weten slechts een van de drie als kritiek op te vatten. Hierover is dan ook weinig bekend, de andere twee zijn echter uit de doeken gedaan op de weblog van deze onderzoeker.
Het tweede lek zorgt ervoor dat lokale HTML niet in een gesloten omgeving uitgevoerd wordt. Volgens de onderzoeker is hier wel degelijk sprake van een kritiek lek: "Internet Explorer geeft bijvoorbeeld een waarschuwing als een lokale bron scripts uitvoert aan de cliëntzijde", schrijft hij. "Dat vind ik een belangrijke functie. Zelfs gevorderde gebruikers maken namelijk uit zichzelf een onderscheid tussen executables (wat als risicovol wordt gezien) en een gedownload html-bestand (waarbij de perceptie heerst dat er minder risico aan kleeft)."
Apple vat de lekken niet op als kritiek of zelfs maar als bug, maar desalniettemin heeft de onderzoeker er vertrouwen in dat er toch het een en ander aangepast gaat worden in Safari: "In mijn meest recente mail raadde ik Apple aan om een optie in Safari kunnen bouwen waarbij de browser eventueel om toestemming van de gebruiker kan vragen, voordat iets naar het bestandssysteem wordt gehaald", schrijft hij. "Apple gaf aan het een goede suggestie te vinden."
10 minuten geleden
