Enligt Nitesh Dhanjani har han tagit kontakt med Apple om alla tre buggarna och fått positiv respons på en av dem. Det gäller en bugg som låter en angripare stjäla filer från en användares dator via Internet. Apple har svarat att det tar den buggen på allvar och arbetar med att åtgärda den. Så den berättar han inga detaljer om.

Men de andra två buggarna menar han att Apple struntar i. Så för att sätta lite eld i baken på Apple så har han publicerat detaljer om hur de kan användas för att ställa till problem för en användare.

Den första buggen kallar han Safari Carpet Bomb. Enligt honom gör den det möjligt för en skadlig webbsida att fylla besökarens skrivbord med skadlig kod på en Windows dator. Om Safari-användaren kör Mac OS X hamnar filerna i katalogen Downloads. Problemet är att det gör det utan att fråga användaren om hän* vill ha några filer nedladdade. Dhanjanis slutsats är att detta är ett sätt som öppnar för angripare att föra över massvis med skadliga filer till användarens dator.

Apples svar gick ut på att det nog skulle vara en bra idé att systemet frågar användaren. Men att det nog inte är så farligt.

"...the ability to have a preference to "Ask me before downloading anything" is a good suggestion. We can file that as an enhancement request for the Safari team. Please note that we are not treating this as a security issue, but a further measure to raise the bar against unwanted downloads. This will require a review with the Human Interface team. We want to set your expectations that this could take quite a while, if it ever gets incorporated."

Det andra förslaget till förbättring som Apple prioriterat ner är att sandlådan som ska kolla om HTML-kod är skadlig inte är kopplad till de lokala resurserna. I sitt svar till Dhanjani säger Apple att det nog behöver tänka en stund.

Vi har ringt Apple och bett om en kommentar. Om det svarar lovar vi att berätta. Ni behöver inte sitta på nålar. Apples policy de senaste tio åren har varit att inte kommentera något.

Källa: Nitesh Dhanjanis blogg

Tips via: Zdnet

*Hän, ett praktiskt finskt ord för både Han och Hon.