Microsoft advierte sobre amenaza provocada por Safari

Microsoft ha publicado un alerta de seguridad, respecto a reportes de una seria amenaza que permite la ejecución remota de código en todas las versiones de Windows XP y Windows Vista, cuando en esos sistemas, está instalado el navegador Safari de Apple. El problema se produce porque Safari no advertirá a los usuarios antes de descargar archivos desde Internet.

La ubicación por defecto para los archivos descargados con la versión para Windows de Safari, es el escritorio del usuario actual. De ese modo, una página maliciosa podría dejar en el escritorio cualquier archivo, sin que el usuario se percate de ello.

Además, si se utiliza cualquier icono similar a los existentes, se podría confundir fácilmente a la víctima. De este modo, las posibilidades de hacer clic en uno de esos archivos, y ejecutando de ese modo un código malicioso, es muy grande.

Lo que preocupa a los analistas de seguridad, es la respuesta de Apple a este problema reportado ya hace un tiempo. Ellos consideran que no se trata de una vulnerabilidad, y que la aparición de una ventana de diálogo que por lo menos advierta al usuario que se va a descargar un archivo, pidiendo confirmación y dando la posibilidad de seleccionar la carpeta de destino, no es más que una opción, y no una obligación.

Este tema ha despertado importantes debates en la red. La postura de Apple, se da de narices con cualquier lógica que ponga la seguridad como prioridad, dejando a los usuarios en una situación muy crítica.

La alerta de seguridad de Microsoft, no describe específicamente la vulnerabilidad, sino que simplemente menciona una “mezcla de amenazas” para los usuarios de Windows que instalan Safari en sus equipos.

La recomendación de Microsoft es restringir el uso de Safari como navegador Web, hasta que una actualización esté disponible. Este punto, evidentemente, no depende de Microsoft.

Aquellos que aún a pesar de la advertencia prefieran seguir usando Safari, al menos deberían tomar la precaución de cambiar la ubicación por defecto para las descargas desde Internet. Especificar un lugar diferente al escritorio de Windows, al menos puede evitar hacer clic por error en un icono del escritorio, que no es lo que el usuario supone.

Esta opción está en el menú “Edit”, “Preferences”. Donde dice “Save Downloaded Files to:”, seleccione una carpeta diferente para la descarga.

Referencias:

Microsoft Security Advisory (953818)
Blended Threat from Combined Attack Using Apple’s Safari on the Windows Platform
http://www.microsoft.com/technet/security/advisory/953818.mspx

Safari Security Questioned; SBW Encourages Action
http://tinyurl.com/6k73hf

Safari pwns Internet Explorer
http://aviv.raffon.net/2008/05/31/SafariPwnsInternetExplorer.aspx

Safari Carpet Bomb
http://www.oreillynet.com/onlamp/blog/2008/05/safari_carpet_bomb.html

Microsoft Security advisory for Safari and Windows
http://isc.sans.org/diary.html?storyid=4495

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: