Safari for Windows 漏洞已經被證實和重現

一位研究人員創建了一個概念證明網站，用圖片演示了Windows用戶在使用蘋果Safari瀏覽器的時候面臨的風險。微軟安全團隊已經警告稱，這種「混合威脅」非常嚴重，Windows用戶在微軟提供安全補丁之前不要使用蘋果的Safari瀏覽器。這位名叫Liu Die Yu研究人員在部落格中明確指出，微軟的警告絕不是危言聳聽。

用戶滑鼠點擊這個鏈接用使用預設設定的Safari瀏覽器向Windows台式電腦自動下載一個陷阱文件，沒有任何提示。這個用戶下一次打開IE瀏覽器的時候，這個強制輸入的文件將自動啟動notepad.exe應用程式並且打開一個不存在的文件。當然，惡意的攻擊者會選擇讓用戶打開惡意的代碼。

當獲悉其瀏覽器沒有發出任何提示就下載文件的消息之後，蘋果表示它也許會採取措施改正其瀏覽器的這種行為，也許不會採取任何措施。換句話說，從安全的角度說，這不是一個大問題。然而，這個演示卻說明了另外一種情況。

IE瀏覽器似乎是自動執行用戶台式電腦中埋藏的奇怪文件中的指令。因此，它肯定是這個問題的根源。微軟在警告這種混合威脅的時候也是這樣說的。如果微軟在每月的安全更新中修復這個安全漏洞，我們不會感到意外。