Apple patcht eindelijk Safari 'tapijtbom'
Het beveiligingslek in Apple's Safari dat websites willekeurige bestanden op de desktop van de gebruiker liet plaatsen, is eindelijk gepatcht. De kwetsbaarheid, beter bekend als de tapijtbom, werd halverwege mei ontdekt. Apple liet weten dat het niet van plan was om het probleem te verhelpen, aangezien het geen beveiligingslek betrof. Onderzoekers en ook Microsoft waren verrast en riepen Apple op om toch actie te ondernemen. De reus uit Redmond wilde anders zelf de kwetsbaarheid repareren.
Ontwerpfout in Windows
Volgens onderzoeker Liu Die Yu was het echter niet de schuld van Apple, maar gaat het eigenlijk om een ontwerpfout in Windows. "Safari voor Windows downloadt zonder enige bevestiging bestanden op de Desktop, wat een best begrijpbare en gemakkelijke feature is. Windows Internet Explorer laadt DLL-bestanden van de Desktop als de bestandsnaam een bepaalde waarde heeft. IE laadt op deze manier dus de bestanden die door Safari zijn gedownload. Het laden van het verkeerde bestand kan voor het uitvoeren van de verkeerde code zorgen," aldus Die Yu, die verder opmerkte dat het probleem met IE al in 2006 aan Microsoft was gemeld.
In haar advisory laat Apple weten dat er een probleem is met de manier waarop de Windows desktop met uitvoerbare bestanden omgaat. Om het probleem te verhelpen waarschuwt Safari gebruikers nu als men een bestand downloadt. Tevens is ook de standaard downloadlocatie aangepast. Naast de tapijtbom zijn in Safari 3.1.2 ook drie andere beveiligingslekken gepatcht, waardoor een aanvaller het systeem kan overnemen als het slachtoffer een verkeerde website bezoekt of informatie achterhalen als men een BMP of GIF afbeelding opent.
Safari for Windows downloads files to Desktop by default with no confirmation - which is a quite reasonable and convenient feature
Het uitvoeren van DLL's op de desktop moet wel als een bug worden aangemerkt, ik zie niet in waarvoor dat een feature zou kunnen zijn.
Echter je kunt ook (internet-) shortcuts op de desktop plaatsen die voorzien zijn van een "sneltoets" waaronder de Enter key; zie mijn reactie (de vijfde) op [url=http://www.security.nl/article/18841/1/Safari-lek_eigenlijk_ontwerpfout_in_Windows.html]deze page[/url]. Na uit/inloggen zal het indrukken van de Enter toets (maakt niet uit in welk programma) de shortcut starten. Als deze verwijst naar een exe file op de desktop (die tevens vanaf de malware site automatisch is gedownload) ben je de pisang. Waarschijnlijk zijn er nog meer scenario's denkbaar.
De grootste kwetsbaarheid hier is het door Safari zonder toestemming downloaden van bestanden, gelukkig wordt dat gepatched. Daarna zie ik als kwetsbaarheid (in Windows) het by default niet tonen van bestandsextensies. Als MS daar nou eens mee zou stoppen (en onverwachte zaken als DLL's laden vanaf de desktop) is het veel duidelijker welke verantwoordelijkheden er bij de gebruiker liggen, zodat in elk geval verstandige gebruikers niet worden verrast met allerlei ongein.
automatisch naar de desktop brengen kan best handig zijn.
Volgens mij doet Firefox dat ook. De handigheid zit 'm in
het naderhand niet afvragen waar de download is gebleven.
Het probleem zit 'm in het automatisch starten van een
(bepaalde) DLL door IE. Dat is natuurlijk te gek voor
woorden. Ik vind dat Apple wel degelijk een punt heeft; zij
kunnen er ook niets aan doen dat IE 'zomaar' DLL's van de
desktop gaat starten. En die bug is er dus nog steeds !
@Bitwiper. Volgens mij lees je niet goed.
Het feit dat de desktop de default download locatie is opent de mogelijkheid voor meerdere exploits die in typische download mappen niet mogelijk zijn. Zoals ik al aangaf zijn DLL's hierbij niet het enige probleem.
klikt erop, althans ik neem aan de gebruikers wel eerst
ergens op moet klikken). Zonder bevestiging is natuurlijk
een kwalijke zaak. Ik moet daarbij wel de kanttekening
plaatsen dat mensen slecht lezen. Dat geldt ook voor de ADS
waarschuwing. Ik blijf het zeer kwalijk van MS vinden dat ze
(bepaalde) programma's van de desktop starten. En dat is in
mijn ogen de feitelijke bug!
steekt en dan de brandweer belt, is het de schuld van de brandweer als ze
niet op tijd bij je kunnen zijn om de brand te blussen.
Waarom wordt nou toch steeds weer elke fout van anderen onder de tafel
geschoffeld? Waarom geeft men nou niet eens één keer toe dat men zelf
gammele software heeft verspreid? Denk eens aan QuickTime, ook van Apple
afkomstig en het wemelt van de bugs. Maar dat is natuurlijk allemaal de
schuld van Microsoft.
Ik zit te wachten op het moment dat men van de lekken in het OS van Apple en
de lekken in Linux ook allemaal de schuld aan Microsoft geeft.
Weet je wat zo gek is? Ik heb nooit, maar dan ook nooit last van aanvallen. Ik
heb nooit een virus, ik heb misschien een of twee spammailtjes in de week
die ook allemaal keurig ontdekt en afgevangen worden. En ik werk gewoon
met Vista. Hoe zou dat nou toch komen?
bovengenoemde probleem 2-ledig; Safari zou niet zomaar
(zonder bevestiging) moeten downloaden en IE zou niet zomaar
programma's op de desktop moeten starten. Naar beide worden
opmerkingen gemaakt! En wat leest good old Vista Omen .....
"oh,oh kom niet aan m'n MS".
Waarom vind je het van Apple kwalijk dat ze downloads op de
desktop plaatsen maar vind je het heel gewoon dat IE
programma's op die desktop staan 'automatisch' start?
te zoeken heeft. Nog afgezien van dat ik het persoonlijk
haat als er icoontjes of wat voor troep dan ook op
mijn desktop terechtkomen. Daar moet gewoon een mooi mokkel
ofzo opstaan en verder niks.
Enne, Naam Onbekend, gebruik je dan ook Safari met je
geliefde Vista?
Leuk weer: het is weer allemaal de schuld van Microsoft. Als
je je huis in de fik steekt en dan de brandweer belt, is het
de schuld van de brandweer als ze niet op tijd bij je kunnen
zijn om de brand te blussen.
objectief kijkt kun je spreken over een fout door Safari, te
weten het ongevraagd en zonder bevestiging heimelijk
downloaden van bestanden maar ook over een oude nog
onverholpen fout in Windows omdat Internet Explorer
DLL-bestanden van de Desktop laadt als de bestandsnaam een
bepaalde waarde heeft. Verder is de Windows desktop gevoelig
voor social-engineering, waarvan Bitwiper een voorbeeld
heeft gegeven.
@Bitwiper. Ongevraagd is niet helemaal juist (de gebruiker klikt erop, althans ik neem aan de gebruikers wel eerst ergens op moet klikken).
P.S. Een verwijzing naar [url=http://www.dhanjani.com/archives/2008/05/safari_carpet_bomb.html]die page van Nitesh Dhanjani[/url] vind je op [url=http://www.security.nl/article/18706/1/Apple_negeert_beveiligingsprobleem_Safari.html]deze Security.nl page van 16 mei[/url] waar door de de redactie bovenaan de [url=http://www.security.nl/article/18923/1/Apple_patcht_eindelijk_Safari_%27tapijtbom%27.html]huidige pagina[/url] wordt verwezen.
@Regenpak: desktop = explorer.exe, en explorer.exe deelt veel code met MSIE. Bij Active Desktop wordt je desktop deels als een webpage behandeld.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
