Nitesh Dhanjani schrijft op zijn blog dat het mogelijk is om de desktop of downloadfolder van Safarigebruikers te vervuilen met malware. Dat wordt volgens Dhanjani veroorzaakt omdat de browser niet kan worden ingesteld om toestemming van een gebruiker te vragen voordat een download start. Een kwaadaardige website kan de browser op die manier met downloadopdrachten voeden. Dhanjani noemt dit de 'Safari Tapijtbom'.

Het is een van drie kwetsbaarheden die Dhanjani aan Apple heeft gemeld. Slechts voor een daarvan heeft Apple volgens de onderzoeker daadwerkelijk aangegeven zijn zorgen te delen dat het om een beveiligingslek gaat. Daarover treedt de blogger dan ook niet in detail, en meldt hij alleen dat het een zeer kritisch lek is die voor de OS X en Windows-versies van Safari.

Twee 'lekken'

De andere twee zijn de 'tapijtbom', en het niet draaien van lokale html in een afgeschermde omgeving. "Internet Explorer geeft bijvoorbeeld een waarschuwing als een lokale bron scripts uitvoert aan de cli├źntzijde", schrijft hij. "Dat vind ik een belangrijke functie. Zelfs gevorderde gebruikers maken namelijk uit zichzelf een onderscheid tussen executables (wat als risicovol wordt gezien) en een gedownload html-bestand (waarbij de perceptie heerst dat er minder risico aan kleeft)."

Van beide heeft Apple tegen de blogger aangegeven dat ze het niet als kwetsbaarheden zien. Dat betekent volgens Dhanjani echter niet dat Apple hier niets tegen gaat doen: "In mijn meest recente mail raadde ik Apple aan om een optie in Safari kunnen bouwen waarbij de browser eventueel om toestemming van de gebruiker kan vragen, voordat iets naar het bestandssysteem wordt gehaald", schrijft hij. "Apple gaf aan het een goede suggestie te vinden." Over de lokale scripting schrijft Apple aan de blogger dat ze het kunnen onderzoeken als manier om de beveiliging iets steviger te krijgen, "maar dat hier wel onderzoek aan vooraf zal gaan." Bron: Techworld