Apple ontmantelt 'Tapijtbom'
Gepubliceerd: Vrijdag 20 juni 2008
Auteur: Michiel van Blommestein
Met het uitbrengen van een nieuwe versie heeft Apple alsnog een zwakke plek in de Windowsversie van Safari gedicht.
De kwetsbaarheid werd in mei voor het eerst opgemerkt door een consultant en hield in dat Safari bestanden automatisch naar de desktop downloadt. Zo zou een malafide website het systeem met malware kunnen bestoken, schreef Nitesh Dhanjani destijds.
Apple antwoordde dat het om een feature voor gebruikersgemak gaat, en dat het 'lek' daarom niet als beveiligingsrisico werd gezien.
Twee weken later meldde beveiliger Avi Raff echter dat de functie kon worden uitgebuit in combinatie met een al langer bekend lek in Internet Explorer. Hacker Liu Die Yu plaatste vorige week een proof of concept bij deze fout, waarbij libraries vanaf de desktop geladen worden als de bestandsnaam een bepaalde waarde heeft.
Met versie 3.1.2 van Safari voor Windows heeft Apple een functie ingebouwd die gebruikers waarschuwt als een bestand wordt gedownload, en bovendien wordt nu niet de desktop, maar de downloadfolder (Vista) of documentsfolder (XP) gebruikt als standaardlocatie.
Tegelijkertijd zijn nog twee kwetsbaarheden voor Windows verholpen. Allebei zijn het lekken die met een kwaadaardige website uit te buiten waren. Een informatielek, die ook voor Mac OS geldt, in het systeem voor het tonen van bmp en gif is met de nieuwe versie ook verholpen.
Bron: Techworld
