www.MegaLab.it

Apple ha rilasciato una versione aggiornata di Safari, la 3.1.2 che risolve un totale di quattro debolezze, tra cui appunto la "Carpet Bomb" qui trattata. Al momento non è del tutto chiaro se, fra gli altri tre, vi siano anche le altre debolezze riportate da Dhanjani. Da notare inoltre che la versione 3.1.2 è disponibile unicamente per Windows: l'edizione del browser per Mac rimane quindi ancora vulnerabile, sebbene il problema sia di entità minore sotto Mac OS X.

Microsoft ha distribuito un apposito advisory in cui mette in guardia gli utenti Windows: il pericolo Carpet Bomb (discusso poco più sotto) è concreto. In attesa di un aggiornamento che ancora ritarda, raccomandiamo di utilizzare Safari solamente per accedere a siti fidati.

Nitesh Dhanjani ha recentemente individuato tre falle di sicurezza in Safari, di cui una potenzialmente molto pericolosa.

Secondo quanto riportato sul suo blog, Apple ha accettato solo una delle tre debolezze riportate, reputando le altre due di scarsa importanza.

La prima falla non riconosciuta da Apple è quella che Dhanjani ha titolato Safari Carpet Bomb ("Bombardamento a tappeto"). Il browser Apple salva sul sistema del visitatore qualsiasi documento il cui content-type non fosse riconosciuto come formato gestibile internamente. Ecco quindi che se il web server invia il consueto text/html o image/jpg, la risorsa viene visualizzata sul navigatore, ma se invia qualcosa di sconosciuto (blah/blah nella dimostrazione di Dhanjani) il file viene automaticamente scaricato e salvato nella cartella di download predefinita.

Il rischio è evidente: siti web costruiti ad hoc potrebbero costituire un rischio per la sicurezza, e scaricare malware direttamente sul PC dell'utente.

Nitesh Dhanjani ha prontamente contattato Apple circa il problema. L'azienda, dal canto suo, ha risposto che la cosa è effettivamente vera, ma che non considera questo un problema di sicurezza. La soluzione più ovvia, ovvero la richiesta di una conferma esplicita prima di salvare il file, potrebbe tardare parecchio: è infatti necessario un intervento da parte dello Human Interface Team, lo stesso gruppo che decide la modalità con cui avviene l'interazione tra programma e utente.

Il secondo problema è indubbiamente più leggero. Dhanjani ha scoperto che Safari non chiede l'autorizzazione esplicita quando una risorsa locale (come una pagina HTML salvata sul disco) intende lanciare uno script client-side, al contrario per esempio di Internet Explorer. Sebbene uno script di questo tipo non possa compromettere il sistema senza sfruttare ulteriori problemi, il ricercatore sottolinea comunque l'importanza di offrire all'utente la massima trasparenza.

Apple, benchè non abbia valutato questo come un rischio concreto, ha riconosciuto e apprezzato la segnalazione, e studierà in un secondo momento il modo di ottimizzare il browser sotto questo aspetto.

L'ultimo bug rilevato è il più serio: Safari consentirebbe infatti la creazione di una pagina in grado di sottrarre file dal disco dell'utente. Al riguardo comunque non sono presenti ulteriori dettagli, poiché si tratta di una falla di sicurezza critica confermata da Apple, alla quale il team di sicurezza sta lavorando attivamente.