Wednesday, May 26, 2010

2年以上残るsafariの脆弱性

macnews.de: Apple will Safari-Sicherheitslücke nicht schließen
von Tizian Nemeth

Appleは2年間,Safari for Macの脆弱性を放置している.
Nitesh Dhanjaniが提唱しているものだ.
このセキュリティ専門家は,2008年5月までAppleでセキュリティ担当として働いていた.
攻撃者が悪質なソフトに感染させることが可能だと言う.
AppleはWindows版には対策を行ったが,
Mac版はユーザに優しいインタフェースを理由に,未対策だ.

Auch nach zwei Jahren hat Apple eine bekannte Sicherheitslücke in Safari auf dem Mac nicht geschlossen und plant dies laut Nitesh Dhanjani auch nicht. Der Sicherheitsexperte hatte den Hersteller aus Cupertino im Mai 2008 auf die Sicherheitslücke hingewiesen, die es Angreifern ermöglicht, Schadsoftware auf den infizierten Rechner zu laden. Bei der Windows-Version hat Apple die Lücke geschlossen, auf dem Mac lehnt der Hersteller dies aus Gründen der Benutzerfreundlichkeit allerdings ab.

この未対策により,“Carpet Bombs”と呼ばれる攻撃が想定される.
“Carpet Bombs”攻撃は一部のインターネットサイトによって起こされる.
サイトに行くことで,ファイルが強制的にダウンロードされる.
これはSafariの場合だけで,他のブラウザは確認してからダウンロードを行う.
このsafariで未対策の脆弱性は,Dhanjaniが提唱しているが,Appleは「ユーザビリティ」を理由にしている.
Appleは直す気はないが,彼のブログで内容が見れる,

Die Lücke erleichtert einen Angriff durch so genannte “Carpet Bombs”. Bei der “Carpet Bomb”-Attacke besucht der Anwender eine präparierte Internetseite. Während des Besuchs werden Dateien heruntergeladen, ohne dass der Anwender den Download genehmigen muss. Anders als bei Safari, wird der Anwender bei anderen Browsern gefragt, ob er Dateien herunterladen möchte. Grund für die nicht geschlossene Sicherheitslücke in Safari, könnte laut Dhanjani sein, dass Apple die “Usability” in den Vordergrund stellt. Apple will nicht, dass Anwender durch diesen extra Prozess der Abfrage müssen, schreibt er in seinem Blog.

この脆弱性は,Macユーザを落胆させる.
セキュリティ専門家が言うように,Windowsは悪質なソフトが入りやすいが,
Macも危険となりつつある,
Computerworldにも同内容がある.

Das Risiko soll für Mac-Anwender gering sein. Während ein weiterer Sicherheitsexperte gezeigt hat, dass man auf diese Weise auf einem Windows-Rechner Schadsoftware auch ausführen kann, ist das auf einem Mac bislang noch nicht gelungen, berichtet Computerworld.

No comments: