开发者发现Safari漏洞 苹果关闭漏洞拒绝修复

据外媒报道某软件开发者表示，他在Safari的Web Archive文件格式中发现了一个漏洞，并在二月份将这个漏洞报告给苹果公司。上个月这个漏洞被苹果关闭，状态显示“不处理”，也就是说苹果不计划修复这个漏洞。这是一个怎样的漏洞，为何会出现这个漏洞？

在Safari中如果你要保存一个网页，可以选择使用的格式之一就是Web Archive。在许多浏览器中，如果你要将网页保存到本地，通常它只包含本身的HTML源代码，也就是说网页中的图片、视频、链接样式表或 JavaScript 都将会丢失。这样当你再去打开这个网页时，显示通常只有的文本，其他内容全部不见。而 Safari Web Archive 格式的工作方式不仅仅是保存网页的 HTML，同时还保存相关的内容。当你打开一个 Web Archive 文件时，显示的网页就是完整的，图片、文字和视频等都与用户最开始看到的是一样。

开发者的 Safari 中找到的漏洞就是，它的安全模式没有限制可以访问 Web Archive 文件中的哪些数据。通常情况下，比如 apple.com 这样的网页就限制只能阅读属于 apple.com 这个域名的 cookies，而不能阅读其他域名的 cookies。如果不做出这样的限制，那么用户的 cookies 有可能会被恶意网站发送给攻击者，攻击者利用这个就可以在任意网站上登陆你的账户。比如在 Safari 的 Web Archive，恶意 Web Archive 不仅可以访问任何其他网站上保存的内容，还可以访问用户保存在电脑上的文件。

既然问题这么严重，为什么苹果还不修复这个漏洞呢？答案是，这个漏洞如果没有用户的操作就无法完成。只有在用户下载并打开了恶意文件，那么他们才会被这个问题影响到。所以要避免这个，最有效的办法还是不要随意打开网站上的奇怪文件。目前很少会有用户随意打开网站上的出现的奇怪文件。考虑到这个漏洞对用户的危害性，未来某时或许苹果会修复这个漏洞。

IT时代网(关注微信公众号ITtime2000，定时推送，互动有福利惊喜)所有原创文章版权所有，未经授权，转载必究。
创客100创投基金成立于2015年，直通硅谷，专注于TMT领域早期项目投资。LP均来自政府、互联网IT、传媒知名企业和个人。创客100创投基金对IT、通信、互联网、IP等有着自己独特眼光和丰富的资源。决策快、投资快是创客100基金最显著的特点。