jueves, 5 de junio de 2008

Safari enfrenta a Microsoft y Apple

Se descubrió una funcionalidad no deseada en el navegador Safari por el investigador Nitesh Dhanjani, pueden ver su investigación aquí. El punto es que el navegador permite bajar código de ejecución a la computadora (PC o Mac) sin permiso del usuario al entrar en una página web especialmente diseñada para "explotar" esta particularidad de Safari.

La gente de Apple no ve un peligro en esto y al parecer no piensa sacar un parche pronto; por otro lado Microsoft ha recomendado, en base a la respuesta de Apple, "restringir" el uso que se le da a Safari para ser usado como navegador.En pocas palabras, nos dicen que no lo usemos. La negativa de Apple para solucionar esto fue bien aprovechada por Microsoft para "pegarle" amablemente a su compañía rival y emitir un comunicado de "restricción".

¿Bajar un ejecutable sin permiso al entrar a una página es una debilidad? En Windows, si tengo un firewall personal bidireccional y un antivirus actualizado, tal vez estemos mitigando el riesgo. Claro, sería mejor que a parte de estas dos protecciones básicas, el navegador me pregunte si deseo bajar un ejecutable y si yo no estoy bajando nada, un usuario responsable dirá que "no".

Ya veremos en qué acaba este asunto, que hasta ahora ya sirvió para un pequeño intercambio de golpes.