微软称Safari漏洞很大很严重 用户勿用

6月1日消息，微软周五发出警告称，微软正在调查安装苹果Safari网络浏览器后Windows XP或Windows Vista系统可能存在的远程代码攻击混合威胁。

据国外媒体报道，雅虎称攻击者可能诱骗用户访问存在恶意脚本的某一站点，从而通过安全漏洞发动攻击，比如可以在用户不知情的情况下下载恶意软件并安装运行。

微软安全应急通信部门主管提姆·瑞恩斯在声明中表示，“在默认情况下Safari并不会安装到Windows XP或Windows Vista操作系统中：Safari的安装一定是独立进行的，或通过苹果软件升级程度完成的。”

今年3月，作为iTunes音乐商店升级的一部分，苹果打算使Safari浏览器成为Windows操作系统的默认应用，然而这一行动引起了业界大量批评的声音。火狐浏览器开发商Mozilla基金会首席执行官约翰·利莉表示，苹果的这一决定“与传播恶意软件别无二致”。

微软就此发表了一份安全建议，对这一安全风险做了解释，并提供规避风险建议。微软称，用户在对Safari的默认下载位置修改之后就不存在安全风险了。

安全研究人员尼特什·达杰尼将这一安全风险称之为Safari Carpet Bomb（地毯轰炸）威胁，“恶意网站可能利用该漏洞向Windows系统填大量充恶意软件，或下载指令列表。”

达杰尼说：“之所以出现上述情况，是因为Safari并不要求在下载内容前得到用户的同意，Safari总是不经用户同意下载资源，并将其存储在默认地址（除非对默认地址进行修改），所以用户可能对于下载到本地硬盘的大量恶意软件一无所知。”

达杰尼透露，他已将发现的三个Safari漏洞向苹果进行了报告，苹果称将对其中之一进行修补。