Punto informatico Network

20080917162855_2142000495_20080917162751_1818129545_Apple_Safari.png

Scoperte tre falle in Safari

23/06/2008
- A cura di
Sicurezza - Il ricercatore di sicurezza Nitesh Dhanjani ha individuato tre falle in Safari. Una è critica, le altre problemi minori. UPDATE: Pronta la versione aggiornata.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

falle (1) , tre (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 229 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Apple ha rilasciato una versione aggiornata di Safari, la 3.1.2 che risolve un totale di quattro debolezze, tra cui appunto la "Carpet Bomb" qui trattata. Al momento non è del tutto chiaro se, fra gli altri tre, vi siano anche le altre debolezze riportate da Dhanjani. Da notare inoltre che la versione 3.1.2 è disponibile unicamente per Windows: l'edizione del browser per Mac rimane quindi ancora vulnerabile, sebbene il problema sia di entità minore sotto Mac OS X.

Microsoft ha distribuito un apposito advisory in cui mette in guardia gli utenti Windows: il pericolo Carpet Bomb (discusso poco più sotto) è concreto. In attesa di un aggiornamento che ancora ritarda, raccomandiamo di utilizzare Safari solamente per accedere a siti fidati.

Nitesh Dhanjani ha recentemente individuato tre falle di sicurezza in Safari, di cui una potenzialmente molto pericolosa.

Secondo quanto riportato sul suo blog, Apple ha accettato solo una delle tre debolezze riportate, reputando le altre due di scarsa importanza. Safari.jpg

La prima falla non riconosciuta da Apple è quella che Dhanjani ha titolato Safari Carpet Bomb ("Bombardamento a tappeto"). Il browser Apple salva sul sistema del visitatore qualsiasi documento il cui content-type non fosse riconosciuto come formato gestibile internamente. Ecco quindi che se il web server invia il consueto text/html o image/jpg, la risorsa viene visualizzata sul navigatore, ma se invia qualcosa di sconosciuto (blah/blah nella dimostrazione di Dhanjani) il file viene automaticamente scaricato e salvato nella cartella di download predefinita.

Il rischio è evidente: siti web costruiti ad hoc potrebbero costituire un rischio per la sicurezza, e scaricare malware direttamente sul PC dell'utente.

Nitesh Dhanjani ha prontamente contattato Apple circa il problema. L'azienda, dal canto suo, ha risposto che la cosa è effettivamente vera, ma che non considera questo un problema di sicurezza. La soluzione più ovvia, ovvero la richiesta di una conferma esplicita prima di salvare il file, potrebbe tardare parecchio: è infatti necessario un intervento da parte dello Human Interface Team, lo stesso gruppo che decide la modalità con cui avviene l'interazione tra programma e utente.

Il secondo problema è indubbiamente più leggero. Dhanjani ha scoperto che Safari non chiede l'autorizzazione esplicita quando una risorsa locale (come una pagina HTML salvata sul disco) intende lanciare uno script client-side, al contrario per esempio di Internet Explorer. Sebbene uno script di questo tipo non possa compromettere il sistema senza sfruttare ulteriori problemi, il ricercatore sottolinea comunque l'importanza di offrire all'utente la massima trasparenza.

Apple, benchè non abbia valutato questo come un rischio concreto, ha riconosciuto e apprezzato la segnalazione, e studierà in un secondo momento il modo di ottimizzare il browser sotto questo aspetto.

L'ultimo bug rilevato è il più serio: Safari consentirebbe infatti la creazione di una pagina in grado di sottrarre file dal disco dell'utente. Al riguardo comunque non sono presenti ulteriori dettagli, poiché si tratta di una falla di sicurezza critica confermata da Apple, alla quale il team di sicurezza sta lavorando attivamente.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.25 sec.
    •  | Utenti conn.: 92
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0.12