במיקרוסופט מזהירים כעת כי פגם בדפדפן ספארי (Safari) מבית אפל עלול לפגוע במשתמשי מערכת ההפעלה חלונות. הבאג בדפדפן, שהתגלה ב-15 במאי, מאפשר לתוקפים למלא את הדסקטופ של המשתמש בעשרות קבצים ותוכניות שניתן להפעיל מרחוק - התקפה המכונה "Carpet Bombing". אם הבאג מנוצל במקביל לבאג נוסף הקיים בדפדפן של מיקרוסופט, האינטרנט אקספלורר, יכול התוקף להריץ תוכנות על מחשב המשתמש.
גילוי ישראלי?
מי שגילה את הבאג באינטרנט אקספלורר היה אביב רף, חוקר אבטחה ישראלי, הטוען כי דיווח על הבאג בדפדפן של מיקרוסופט כבר לפני יותר משנה. רף הסביר לפני כשבוע גם על הסכנה שבשילוב הבאג עם ה-Carpet Bombing.
על-מנת שההתקפה תצליח, חייב הקורבן לבקר קודם באתר אינטרנט הכולל קודים מזיקים, ולעשות זאת בעזרת דפדפן ספארי, אשר יפעיל בתורו את התקפת ה-Carpet Bombing אשר תנצל את הבאג באינטרנט אקספלורר.
במיקרוסופט מטפלים, באפל מתעלמים
במיקרוסופט מתייחסים לבעיה ברצינות, ושחררו הכרזה המייעצת למשתמשי חלונות להימנע משימוש בדפדפן ספארי עד שהבעיה תתוקן על-ידי מיקרוסופט ו/או אפל. עוד מזהירים במיקרוסופט כי ההתקפה עלולה לפגוע בכל גרסאות חלונות XP וחלונות ויסטה.
לעומת זאת, באפל דווקא לא ממהרים להתייחס לבאג בדפדפן שלהם כאל פגיעה רצינית באבטחה. לפי אביב רף, אם אפל לא תתקן את הבאג בדפדפן שלה, צפויות עוד ועוד התקפות. בנוסף, גם אם מיקרוסופט תתקן את הבאג בדפדפן שלה, הרי שמשתמשי ספארי עדיין יהיו בסיכון.
הידיעה הופיעה ב-3 מקורות מובילים בעולם:
ComputerWorld
PCWorld
ZDNet