Microsoft ha publicado una alerta de seguridad, con respecto a los reportes de una seria amenaza que permite la ejecución remota de código en todas las versiones de Windows XP y Windows Vista, cuando en esos sistemas, está instalado el navegador Safari de Apple. El problema se produce porque Safari no advertirá a los usuarios antes de descargar archivos desde Internet.
La ubicación por defecto para los archivos descargados con la versión para Windows de Safari, es el escritorio del usuario actual. De ese modo, una página maliciosa podría dejar en el escritorio cualquier archivo, sin que el usuario se percate de ello.
Además, si se utiliza cualquier icono similar a los existentes, se podría confundir fácilmente a la víctima. De este modo, las posibilidades de hacer clic en uno de esos archivos, y ejecutando de ese modo un código malicioso, es muy grande.
Lo que preocupa a los analistas de seguridad, es la respuesta de Apple a este problema reportado ya hace un tiempo. Ellos consideran que no se trata de una vulnerabilidad, y que la aparición de una ventana de diálogo que por lo menos advierta al usuario que se va a descargar un archivo, pidiendo confirmación y dando la posibilidad de seleccionar la carpeta de destino, no es más que una opción, y no una obligación.
Este tema ha despertado importantes debates en la red. La postura de Apple, se da de narices con cualquier lógica que ponga la seguridad como prioridad, dejando a los usuarios en una situación muy crítica.
La alerta de seguridad de Microsoft, no describe específicamente la vulnerabilidad, sino que simplemente menciona una “mezcla de amenazas” para los usuarios de Windows que instalan Safari en sus equipos.
La recomendación de Microsoft es restringir el uso de Safari como navegador Web, hasta que una actualización esté disponible. Este punto, evidentemente, no depende de Microsoft.
Aquellos que aún a pesar de la advertencia prefieran seguir usando Safari, al menos deberían tomar la precaución de cambiar la ubicación por defecto para las descargas desde Internet. Especificar un lugar diferente al escritorio de Windows, al menos puede evitar hacer clic por error en un icono del escritorio, que no es lo que el usuario supone.
Esta opción está en el menú “Edit”, “Preferences”. Donde dice “Save Downloaded Files to:”, seleccione una carpeta diferente para la descarga.
Referencias:
Microsoft Security Advisory (953818)
Blended Threat from Combined Attack Using Apple’s Safari on the Windows Platform
http://www.microsoft.com/technet/security/advisory/953818.mspx
Safari Security Questioned; SBW Encourages Action
http://tinyurl.com/6k73hf
Safari pwns Internet Explorer
http://aviv.raffon.net/2008/05/31/SafariPwnsInternetExplorer.aspx
Safari Carpet Bomb
http://www.oreillynet.com/onlamp/blog/2008/05/safari_carpet_bomb.html
Microsoft Security advisory for Safari and Windows
http://isc.sans.org/diary.html?storyid=4495
0 comentarios:
Publicar un comentario