....of toch misschien een steek onderwater voor alle reclames waarin Apple de
veiligheid van Windows producten op de korrel neemt....

Het (b)roddelgehalte wordt steeds hoger op security.nl

Bizar dat Apple dit geen security vulnerability noemt (dat is tenminste wat Nitesh Dhanjani erover [url=http://www.dhanjani.com/archives/2008/05/safari_carpet_bomb.html]beweert[/url]).

De voorgestelde workaround is nauwelijks een verbetering (wijzigen van de default download locatie 'desktop' naar iets anders). Als de gebruiker het tonen van bestands-extensies uit heeft staan (default) kan deze bijv. bij het opruimen van zo'n download directory gemakkelijk gefopt worden door een kladblok ikoon o.i.d.

Trouwens, weet iemand of het mogelijk is om code (tevens gedownload) te laten starten bij het (automatisch door verkenner) openen van een desktop.ini bestand bij het openen van de download map? Bijv. via HTA of CLSID's in die desktop.ini...

Pf..jullie begrijpen het niet. Als MS met een patch komt,
hoeft Apple zich niet druk te maken. Levert geld, tijd en
mankracht op.

Apple laat de gebruikers barsten door een enorm lek niet te repareren.
Microsoft beschermt de gebruikers van haar producten door daarin dan wel
een patch te zetten die dit lek tegenhoudt en wat is de reactie van security.nl?
Kritiek op Microsoft! Wordt het nou zo langzamerhand niet een beetje heel erg
veel boel zielig?

Wat Microsoft ook doet, kritiek moet en zal er wezen. Heb maar liever kritiek op
de schandalige nalatigheid van Apple, het bedrijf dat zich zo op de borst
timmert als het om veiligheid gaat.

Uit dit soort reacties blijkt steeds meer dat Microsoft heel wat meer te
vertrouwen is dan zijn concurrenten als het om veiligheid gaat.

Ik ga geen cijfers meer noemen, ik ga niks meer bewijzen of uitleggen, wie
kan lezen, weet genoeg. Ik word hier alleen maar dood- en doodmoe van.

zal wel een "killbit" voor Safari worden, haha
net goed

haha, alsof je dat ooit hebt gedaan. vanaf dag 1 heb je
voornamelijk vage en niet op feiten gebaseerde opmerkingen
gemaakt richting alles en iedereen die iets slechts over
microsoft zei. en als iemand om een bewijs kwam vragen bleef
het stil of kwam weer een volgende vage opmerking.

toen andere bedrijven dit met microsoft producten deden
stonden ze zelf hard te schreeuwen daar geen gebruik van te
maken, en nu mogen zij het wel doen? het is gewoon een
smerig spelletje tussen beide partijen waarin ze allebei
verkeerd bezig zijn met het oog op eigen gewin.

Okay, ik bijt. Buiten het woord 'opmerkelijk' zie ik helemaal geen kritiek, en van een patch door Microsoft is nog helemaal geen sprake. Als we [url=http://aviv.raffon.net/2008/05/31/SafariPwnsInternetExplorer.aspx]Avif Raff[/url] ([url=http://isc.sans.org/diary.html?storyid=4495]bron[/url]) mogen geloven betreft het hier een combined attack also exploits an old vulnerability in Internet Explorer that I've already reported to them a long long time ago (them = Microsoft). Klinkt als de zoveelste Microsoft it's a feature, not a bug isue, denk maar aan de [url=http://seclists.org/bugtraq/2007/Oct/0069.html]bug vorig jaar[/url] waarvan Microsoft pas na veel aandringen [url=http://www.microsoft.com/technet/security/bulletin/ms07-061.mspx]toegaf[/url] dat het om een vulnerability in shell32.dll ging.

Een ander voorbeeld van een unpatched vulnerability: in mei 2006 heeft [url=http://www.infoworld.com/article/06/05/19/78413_21OPsecadvise_1.html]Roger A. Grimes[/url] melding gemaakt van een 'hidden feature' in MSIE. In vragen hierover door [url=http://www.zdnet.com.au/news/security/soa/Windows-shortcut-trick-is-a-feature-Microsoft/0,130061744,139262246,00.htm]ZDNet[/url] zei Peter Watson, chief security advisor van Microsoft Australië: this is not a security vulnerability but actually a feature that could be used by legitimate applications. Yeah right.

Kennelijk heeft Microsoft besloten dat het toch een vulnerability was, want in IE7 krijg je een waarschuwing. In IE6, dat nog erg veel gebruikt wordt, is dit nooit gepatched; waarom niet? Hoezo beschermt Microsoft haar gebruikers?

De 'feature' dan maar: als je in IE6 intikt: http://www.microsoft.com terwijl je op je desktop een bestand hebt met de naam http://www.microsoft.com.lnk (of http://www.microsoft.com.exe), dan zal dat bestand starten en geen website openen. Het vereist niet veel verbeeldingskracht om met wat social engineering een Safari gebruiker te vertellen (nadat Safari een bestand op de desktop heeft gezet ) dat de gebruiker bank X niet met Safari moet bezoeken, maar MSIE moet starten en de gegeven URL moet intikken.

Overigens heb ik met wat onderzoek nog wat engere zaken ontdekt maar daar ga ik maar niet op in.

Fun: m.b.v. unicode kan ik een shortcut genaamd http???www.microsoft.nl? (die tekst is waarschijnlijk niet leesbaar in elk OS/browser) op m'n desktop zetten, copy/pasten van die naam in IE6 (ziet er heel overtuigend uit!) opent het programma waar de shortcut naar wijst.

Ik geef maar één reactie, eigenlijk was ik het helemaal niet van plan, Maar als
Microsoft met een nieuwere en veiliger versie van IE gebruikt en heel veel
mensen blijven stug de oudere versie gebruiken, wie is er dan onvelig bezig?
Als gebruikers niet willen luisteren, is dat HJN risico, niet van Microsoft! Maar
dat is nou iedere keer het geval: gebruikers werken onveilig en dat is dan de
schuld van Microsoft.

Als je daar het belachelijke niet van inziet, lamaar. De rest laat ik maar
helemaal aan me voorbij gaan.

Hmm, bij I-Tunes geeft Apple je een kostenloze buggy Safari, en bij XP-SP3 installeert Microsoft ongevraagd een gratis [url=http://isc.sans.org/diary.html?storyid=4513]buggy Flash-player...[/url]

En dus opnieuw een leugen! Flash is NIET van Microsoft, Safari is WEL van
Apple! Zo zie je maar weer, de leugens en verdachtmakingen blijven maar
doorgaan. Ga maar lekker je gang hoor, steeds minder mensen geloven die
leugens van Microsofthaters nog.

beter lezen, bitwiper zegt niet dat flash van microsoft is. alleen dat er een lekke
versie van geinstalleerd wordt met sp3, en dat lijkt zo te zijn.

Beter lezen: dat blijkt NIET zo te zijn.

mijn bron over de lekke versie van flash die mee komt met sp3:
http://isc.sans.org/diary.html?storyid=4513 en wordt gewoon door microsoft
bevestigd: http://www.microsoft.com/technet/security/Bulletin/MS06-069.mspx


dus hoezo blijkt dat NIET zo te zijn? en vindt jij zelf ook niet dat het raar is dat
microsoft een versie 6 van flash mee installeerd met een eigen update. terwijl
flash helemaal niet van microsoft is zoals je zelf al eerder aangeeft?

@Nomen, ik weet niet wat jij waar leest, maar Microsoft heeft haar [url=http://www.microsoft.com/technet/security/Bulletin/MS06-069.mspx]MS06-069 security bulletin[/url] geupdate, daarin staat onder meer: maar ook dat zal wel weer een leugen zijn...