Safari 'Tapijtbom' op scherp gezet
Gepubliceerd: Woensdag 11 juni 2008
Auteur: Michiel van Blommestein
Een hacker heeft afgelopen weekeinde op zijn blog een exploit gepubliceerd over een lek in Safari voor Windows, waarvan Apple heeft aangegeven het niet te gaan verhelpen.
De kwetsbaarheid werd vorige maand beschreven door Nitesh Dhanjani, een beveiligingsconsulent. 'De Safari Tapijtbom' maakte het voor een hacker mogelijk om het systeem van een slachtoffer te bestoken van malware. Omdat het om een bewuste feature gaat, zal het geen patch of iets van deze orde hiervoor uitbrengen, zo mailde Apple indertijd aan de consulent.
Twee weken later voegde beveiliger Aviv Raff eraan toe dat het mogelijk is om willekeurige code te draaien als het lek in tandem wordt gebruikt met een veel langer bekend lek in Internet Explorer.
Microsoft heeft daar anderhalve week geleden een advisory over gepubliceerd, maar het bleek te kortdag om hier met Patch Tuesday iets mee te doen. Het lek zou zitten in het mechanisme van Windows waarmee desktop-executables worden aangestuurd.
De hacker die de poc heeft geplaatst, Lui Die Yu, geeft in zijn blog niet aan waarom hij de exploit naar buiten heeft gebracht. Hij merkt alleen op 'geen fan van Apple' te zijn, maar dat de functionaliteit van Safari om zonder confirmatie naar de desktop te downloaden "erg redelijk en gemakkelijk" is.
Bron: Techworld
