Microsoft: Apple moet Safari-lek patchen
Als het gaat om de veiligheid van haar gebruikers laat Apple zich weer eens van haar slechtste kant zien, tot groot ongenoegen van vele beveiligingsonderzoekers en zelfs Microsoft. Twee weken geleden demonstreerden twee onderzoekers hoe kwaadaardige websites bestanden op de desktop kunnen plaatsen, zonder dat de gebruiker hiervoor toestemming hoeft te geven of dit zelfs weet. Apple's browser blijkt geen toestemming voor het downloaden van bestanden te vragen. Volgens beveiligers een serieus beveiligingsprobleem, maar de gigant uit Cupertino steekt haar kop in het zand.
Apple maakt allerlei reclame waarin het de veiligheid van haar software benadrukt, maar in werkelijkheid negeert het dit soort ernstige problemen. "Als het gaat om het reageren op legitieme security dreigingen, is Apple lichtjaren verwijderd van wat ze in haar eigen reclames belooft," zegt Dancho Danchev. "Standaard gebruikersrechten zijn nodig om naar de desktop te schrijven. Weet je wat een standaard gebruiker verder doet? HET UITVOEREN VAN CODE," valt een geïrriteerde onderzoeker Dan Kaminsky zijn collega bij.
Eerder waarschuwde Microsoft's Robert Hensing al voor de gevolgen als aanvallers dit lek met een andere kwetsbaarheid combineren. "Denk bijvoorbeeld aan een combo-aanval waarbij een lek wordt gebruikt om een EXE op de desktop te plaatsen en een nog onbekend lek om het bestand uit te voeren." Hensing laat weten dat de aanvallers al op de helft zitten om willekeurige code op systemen uit te voeren. Het is echter de vraag of de andere helft wel nodig is, aangezien een aanvaller een bestand op de desktop allerlei interessante namen zou kunnen geven of laten lijken op al aanwezig iconen en bestanden. Een gebruiker is dan een klik verwijderd van een infectie.
Microsoft securitychef Roger Halbheer geeft Apple er ook van langs. Hij sprak onlangs over het verantwoord melden van beveiligingslekken. "En dan, wat doet de vendor ermee? Hoe reageert het bedrijf erop?" Door de manier waarop Apple nu reageert, wordt security binnen de industrie niet goed aangepakt en het verantwoord melden van beveiligingslekken niet gepromoot. Hij roept het bedrijf dan ook op het lek te patchen.
ongebruikte icoontjes op m'n bureablad staan terwijl ik
helemaal geen iconen op het bureablad heb?
Begrijp mij niet verkeerd. Ik ben een MS voorstander, maar zij patchen ook niet
altijd alles even snel...
Niet dat ze ongelijk hebben, maar ze mogen hun eigen advies ook
aannemen :)
zand.
Het woord gigant is mannelijk. Dus het moet zijn: "steekt zijn kop in het zand"
De Belgen hebben gelijk: in Nederland heerst de haar-ziekte...
De pot verwijt de ketel?
Begrijp mij niet verkeerd. Ik ben een MS voorstander, maar zij patchen ook niet
altijd alles even snel...
Niet dat ze ongelijk hebben, maar ze mogen hun eigen advies ook
aannemen :)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
