苹果Sarfari下载机制存缺陷或被感染

网管下载dl.bitscn.com

　　据国外媒体报道称，安全研究人员加尼在其博客中写道，无须获得用户允许，Sarfari 3.1就可以下载内容.加尼说，这一问题非常明显：无须用户同意，恶意软件就会被下载到用户桌面上. 网管下载dl.bitscn.com

　　最近有媒体报道称，通过与iTunes和QuickTime等应用软件捆绑，苹果将Safari浏览器的市场份额提高了2倍. 网管网www_bitscn_com

　　Securosis.com的里奇本周一表示，尽管自动下载功能在缺省状态下不会遭遇这一问题，但这仍然意味着很大的安全风险.他说，在Windows系统中，下载的内容在缺省状态下会下载到用户的桌面上，黑客很容易就能诱骗用户执行恶意软件；在Mac OS X Leopard系统中，下载的内容会下载到“下载文件夹中，即使如此，如果黑客使用一个有吸引力的文件名，用户仍然可能会受骗上当.

　　里奇表示，苹果显然没有考虑到这一点：黑客可能利用社会工程原理，通过有吸引力的文件名和图标诱惑用户运行恶意软件.他说，这显然是一个安全问题，苹果应当尽快地修正这一问题.

网管网www_bitscn_com

　　但据加尼称，他与苹果的沟通表明，尽管苹果认为在下载前获得用户允许是个好主意，但苹果并不认为这是一个安全问题，也没有在近期修正这一问题的计划. 网管u家u.bitscn@com

　　Gartner的副总裁瓦格纳表示，他认为苹果没有意识到这一问题在安全方面的影响.他说，从安全角度看，在用户不知情或没有同意的情况下向用户的PC下载任何数据和可执行代码都应当被认为是一个问题.我认为苹果应当优先修正这一问题.