RSS-bug in Safari ernstiger dan gedacht
Gepubliceerd: Maandag 19 januari 2009
Auteur: Loek Essers
Een lek in de feedreader van Safari is hardnekkiger dan gedacht. De onderzoeker die het gat ontdekte waarschuwt dat het gevaar nog niet is geweken.
Het lek in Safari geeft buitenstaanders toegang tot de harde schijf van de gebruiker zonder dat deze er iets tegen kan beginnen. Een aanvaller kan dan ongecontroleerd e-mails, opgeslagen wachtwoorden en andere bestanden doorsnuffelen. De kwetsbaarheid werd ontdekt door Brian Mastenbrook, die eerder al kwetsbaarheden in het Mac OS X besturingssysteem opspoorde.
Het lek zou vooral gevaarlijk zijn voor gebruikers van OS X 10.5 en hoger. Eerdere Apple besturingssystemen hebben er geen last van. Gebruikers van Firefox, Camino en Opera zouden aanzienlijk beter beschermd zijn tegen het lek. Ook Windows gebruikers die Safari draaien lopen gevaar.
Eerdere oplossing niet toereikend
Mastenbrook publiceerde vervolgens een 'workaround' op zijn weblog. Daarmee zouden de gevaren vermeden kunnen worden nog voordat er een patch beschikbaar was voor de browser. Hij adviseerde om de default rss-reader van Safari uit te schakelen en daarmee zou het probleem opgelost zijn.
Nieuwe oplossing
"Sindsdien ben ik erachter gekomen dat de feed reader van Safari niet alle rss-feed url's loskoppelt van de browser", schrijft Mastenbrook op zijn blog. "Het spijt me dat de eerst gegeven oplossing niet klopt en dat de oplossing nu een stuk moeilijker is." Zo zou er extra software nodig zijn om het lek te omzeilen.
Mastenbrook adviseert gebruikers van OS X nu de RCDefaultApp te installeren. Met deze applicatie moeten de 'feed', 'feeds' en 'feedsearch' url's uitgeschakeld worden. Windows gebruikers wordt geadviseerd om geen Safari te gebruiken omdat daar nog geen manier is om het lek te omzeilen.
Apple heeft nog niet gereageerd op het lek en nog geen patch uitgebracht.
