扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
Safari是苹果家族操作系统所捆绑的WEB浏览器。Safari浏览器无法配置为在下载资源之前获得用户的许可,未经用户同意便将资源下载到了默认的位置。
发布日期:2008-05-30
更新日期:2008-06-02
受影响系统:
Apple Safari 3.1.1
- Microsoft Windows XP SP3
- Microsoft Windows XP SP2
- Microsoft Windows Vista
描述:
----------------------------------------------------------------------------
BUGTRAQ ID: 29445
Safari是苹果家族操作系统所捆绑的WEB浏览器。
Safari浏览器无法配置为在下载资源之前获得用户的许可,未经用户同意便将资源下载到了默认的位置。
假设用户访问了提供以下HTML的恶意站点http://malicious.example.com/ :
...
...
...
...
其中http://malicious.example.com/cgi-bin/carpet_bomb.cgi 为:
#!/usr/bin/perl
print "Content-type: blah/blah\n\n"
由于Safari不知道如何渲染blah/blah内容类型,就会自动开始下载carpet_bomb.cgi。如果在Windows平台上使用Safari的话,访问http://malicious.example.com/ 后就会未经用户同意向用户桌面下载恶意软件。
<*来源:Nitesh Dhanjani
链接:http://www.dhanjani.com/archives/2008/05/safari_carpet_bomb.html
http://www.microsoft.com/technet/security/advisory/953818.mspx?pf=true
http://blogs.zdnet.com/security/?p=1230
http://secunia.com/advisories/30467/
*>
建议:
----------------------------------------------------------------------------
临时解决方法:
将Safari的文件下载位置更改为非桌面。
厂商补丁:
Apple
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.apple.com
婵犵數濮烽。浠嬪焵椤掆偓閸熷潡鍩€椤掆偓缂嶅﹪骞冨Ο璇茬窞闁归偊鍓涢悾娲⒑闂堟单鍫ュ疾濠婂嫭鍙忔繝濠傜墛閸嬨劍銇勯弽銊с€掗柟钘夊暣閺岀喖鎮滈埡鍌涚彋閻庤娲樺畝绋跨暦閸洖鐓涢柛灞剧矋濞堟悂姊绘担绛嬪殐闁搞劋鍗冲畷銏ゅ冀椤愩儱小闂佹寧绋戠€氼參宕伴崱妯镐簻闁靛牆鎳庢慨顒€鈹戦埥鍡椾簼婵犮垺锚铻炴俊銈呮噺閸嬪倹绻涢崱妯诲碍閻庢艾顦甸弻宥堫檨闁告挾鍠庨锝夘敆娓氬﹦鐭楁繛鎾村焹閸嬫捇鏌e☉娆愬磳闁哄本绋戦埞鎴﹀川椤曞懏鈻婄紓鍌欑劍椤ㄥ懘鎯岄崒鐐靛祦閹兼番鍔岄悞鍨亜閹烘垵顏╅悗姘槹閵囧嫰寮介妸褎鍣ョ紓浣筋嚙濡繈寮婚悢纰辨晣鐟滃秹鎮橀懠顒傜<閺夊牄鍔庣粻鐐烘煛鐏炶姤鍠橀柡浣瑰姍瀹曠喖顢橀悩铏钒闂備浇宕垫慨鎶芥⒔瀹ュ鍨傞柦妯猴級閿濆绀嬫い鏍ㄧ☉濞堟粓姊虹涵鍛【妞ゎ偅娲熼崺鈧い鎺嗗亾闁挎洩濡囧Σ鎰板籍閸繄顓洪梺缁樺姇瀵剙螖閸涱喚鍘搁梺鍓插亽閸嬪嫰鎮橀敃鍌涚厱閻庯綆鍋嗘晶顒傜磼閸屾稑绗ч柟鐟板閹煎湱鎲撮崟闈涙櫏闂傚倷绀侀幖顐も偓姘卞厴瀹曞綊鏌嗗鍛紱閻庡箍鍎遍ˇ浼村磿瀹ュ鐓曢柡鍥ュ妼婢ь垰霉閻樿秮顏堟箒闂佹寧绻傚Λ妤呭煝閺囥垺鐓冪憸婊堝礈濮樿泛钃熼柕濞у嫷鍋ㄩ梺缁樺姇椤曨參鍩㈤弴銏″€甸柨婵嗗€瑰▍鍥ㄣ亜韫囨稐鎲鹃柡灞炬礋瀹曢亶顢橀悢濂変紦