image

Safari-lek eigenlijk ontwerpfout in Windows

maandag 9 juni 2008, 11:51 door Redactie, 10 reacties

Het beveiligingsprobleem in Safari waardoor een website zonder enige interactie bestanden op de desktop kan plaatsen, is eigenlijk een ontwerpfout in Windows. Na het bekend worden van de kwetsbaarheid riep Microsoft Apple op om het lek te patchen. Een dag later liet de softwaregigant weten dat het anders zelf met een update zou komen en dat is volgens onderzoeker Liu Die Yu best logisch, omdat het probleem in Windows en niet in Safari zit.

"Safari voor Windows downloadt zonder enige bevestiging bestanden op de Desktop, wat een best begrijpbare en gemakkelijke feature is. Windows Internet Explorer laadt DLL-bestanden van de Desktop als de bestandsnaam een bepaalde waarde heeft. IE laadt op deze manier dus de bestanden die door Safari zijn gedownload. Het laden van het verkeerde bestand kan voor het uitvoeren van de verkeerde code zorgen," aldus Die Yu.

Dit lek in Internet Explorer is al in 2006 aan Microsoft gemeld, maar nog altijd niet verholpen. Als bewijs heeft Die Yu deze exploit online gezet die, mits geopend door Safari, een onschuldig bestand genaamd schannel.dll op de Desktop plaatst. Dat bestand bevat een script dat de volgende keer dat men Internet Explorer start, Notepad laadt. Hoewel onschuldig, kan de lading voor kwaadaardige doeleinden worden aangepast, zoals het stelen van bestanden en installeren van malware.

"Het komt erop neer dat als het besturingssysteem een browser van derden code naar de Desktop laat schrijven die automatisch wordt uitgevoerd en elke willekeurige Windows applicatie laat starten, dat een redelijk groot beveiligingslek is," merkt Brian Krebs van de Washington Post op. Het probleem wordt vergroot omdat DLL-bestanden in Windows standaard niet zichtbaar zijn. Krebs verwacht dan ook dat Microsoft inderdaad het probleem gaat patchen, aangezien de kwetsbaarheid niet alleen via Safari te misbruiken is.

Reacties (10)
09-06-2008, 12:44 door Anoniem
Beetje onzin.
Dit zijn gewoon 2 apparte problemen. DIe samen toevallig makkelijker te
misbruiken zijn dan ieder voorzich, maar MS is niet in eens verantwoordelijk
voor het onverantwoordelijke gedrag van Safari.

1) Safari download bestanden zonder de gebruiker te vragen. Dit is hoe dan
ook een probleem was Apple zou moeten oplossen.
2) MS is zo aardig om .dll bestanden van de desktop te gebruiken als ze daar
toevallig staan.

maar de title van het bericht natuurlijk onzin.
09-06-2008, 12:51 door Anoniem
Apple is vééél veiliger! En als er dan iets mis gaat, geven
we gewoon
Microsoft de schuld.
09-06-2008, 13:20 door Anoniem
Is de Windows Bashing Service nog niet gestart ?
09-06-2008, 13:42 door Anoniem
Safari voor Windows downloadt zonder enige
bevestiging bestanden op de Desktop (...)
Onder OSX
worden bestanden heimelijk gedownload naar een aparte
downloadmap. Dat heet de Safari-lek te zijn.
Windows Internet Explorer laadt DLL-bestanden van de
Desktop als de bestandsnaam een bepaalde waarde heeft. IE
laadt op deze manier dus de bestanden die door Safari zijn
gedownload. Het laden van het verkeerde bestand kan voor het
uitvoeren van de verkeerde code zorgen.
Zijnde een
additioneel lek, maar van Windows.
09-06-2008, 14:23 door Bitwiper
DLL?? Het kan veel eenvoudiger. Start notepad en copy-paste onderstaande tekst er in:
[InternetShortcut]
url=file://c:/windows/system32/calc.exe
Hotkey=13
Sla dit op als "LOL.url" op de desktop (je moet bij opslaan de dubbele aanhalingstekens er omheenzetten en voor "all files" (ipv alleen tekstfiles) kiezen, anders maakt notepad er LOL.url.txt van). Log uit en weer in (refresh desktop werkt niet, alle explorer.exe instanties in taskmanager afschieten en weer een Explorer instance opstarten wel) en doe daarna wat je gewoonlijk doet...

I.p.v. calc werkt iets dergelijks als http://www.security.nl/article/18839/1/Beveiligingstools_Sysinternals_nu_ook_online.html wellicht ook. Icoontje aanpassen e.d. laat ik aan de skiddies over.

Conclusie: je moet desktops (ook 'all users'), de startup folders, registry 'run' keys etc. als typisch trojan-able gebieden beschouwen, vergelijkbaar met de mappen die linux/unix users in hun path hebben staan (d.w.z. elke subdir, indien . in het path is opgenomen).

Edit 2008-09-17 10:17 slashes in de internetshortcut hersteld (deze waren weg sinds de security.nl website update)
Edit 2010-08-23 23:46 diverse opmaak-correcties omdat tags als [color] en [url=bla]tekst[/url] (helaas) niet meer werken
09-06-2008, 23:11 door Anoniem
Windows eigenlijk een fout Apple ontwerp?
09-06-2008, 23:32 door Anoniem
werkt hier niet hoor, zojuist getest
11-06-2008, 08:36 door Nomen Nescio
Zei ik het niet? Dus een lekke Safari op een Apple computer is de schuld van
Microsoft. Nog even en de aardbeving in China is ook de schuld van Microsoft.
11-06-2008, 13:40 door Anoniem
eh, tenzij ik het verkeerd begrijp (ik gebruik geen spul van
beide partijen hier), is het downloaden zelf op zich niet
het probleem, dat is een feature waar je het al dan niet mee
eens kan zijn. het probleem is dat ze onder windows
automatisch uitgevoerd kunnen worden.

In die zin is het dus zeker wel de fout van microsoft die
het geheel tot een veel grotere security issue maakt (op
zich doen alle browsers in meer of mindere mate automatisch
downloaden, alleen meestal naar een temp of cache dir).
13-06-2008, 20:08 door Ronald van den Heetkamp
Is dus een probleem van Apple omdat het om content-negotiation gaat, welke
een browser controleerd, niet Windows!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.