image

Apple patcht eindelijk Safari 'tapijtbom'

vrijdag 20 juni 2008, 09:55 door Redactie, 9 reacties

Het beveiligingslek in Apple's Safari dat websites willekeurige bestanden op de desktop van de gebruiker liet plaatsen, is eindelijk gepatcht. De kwetsbaarheid, beter bekend als de tapijtbom, werd halverwege mei ontdekt. Apple liet weten dat het niet van plan was om het probleem te verhelpen, aangezien het geen beveiligingslek betrof. Onderzoekers en ook Microsoft waren verrast en riepen Apple op om toch actie te ondernemen. De reus uit Redmond wilde anders zelf de kwetsbaarheid repareren.

Ontwerpfout in Windows

Volgens onderzoeker Liu Die Yu was het echter niet de schuld van Apple, maar gaat het eigenlijk om een ontwerpfout in Windows. "Safari voor Windows downloadt zonder enige bevestiging bestanden op de Desktop, wat een best begrijpbare en gemakkelijke feature is. Windows Internet Explorer laadt DLL-bestanden van de Desktop als de bestandsnaam een bepaalde waarde heeft. IE laadt op deze manier dus de bestanden die door Safari zijn gedownload. Het laden van het verkeerde bestand kan voor het uitvoeren van de verkeerde code zorgen," aldus Die Yu, die verder opmerkte dat het probleem met IE al in 2006 aan Microsoft was gemeld.

In haar advisory laat Apple weten dat er een probleem is met de manier waarop de Windows desktop met uitvoerbare bestanden omgaat. Om het probleem te verhelpen waarschuwt Safari gebruikers nu als men een bestand downloadt. Tevens is ook de standaard downloadlocatie aangepast. Naast de tapijtbom zijn in Safari 3.1.2 ook drie andere beveiligingslekken gepatcht, waardoor een aanvaller het systeem kan overnemen als het slachtoffer een verkeerde website bezoekt of informatie achterhalen als men een BMP of GIF afbeelding opent.

Reacties (9)
20-06-2008, 11:13 door Bitwiper
[url=http://liudieyu0.blog124.fc2.com/blog-entry-1.html]Liu Die Yu:[/url]
Safari for Windows downloads files to Desktop by default with no confirmation - which is a quite reasonable and convenient feature
Totaal niet mee eens.

Het uitvoeren van DLL's op de desktop moet wel als een bug worden aangemerkt, ik zie niet in waarvoor dat een feature zou kunnen zijn.

Echter je kunt ook (internet-) shortcuts op de desktop plaatsen die voorzien zijn van een "sneltoets" waaronder de Enter key; zie mijn reactie (de vijfde) op [url=http://www.security.nl/article/18841/1/Safari-lek_eigenlijk_ontwerpfout_in_Windows.html]deze page[/url]. Na uit/inloggen zal het indrukken van de Enter toets (maakt niet uit in welk programma) de shortcut starten. Als deze verwijst naar een exe file op de desktop (die tevens vanaf de malware site automatisch is gedownload) ben je de pisang. Waarschijnlijk zijn er nog meer scenario's denkbaar.

De grootste kwetsbaarheid hier is het door Safari zonder toestemming downloaden van bestanden, gelukkig wordt dat gepatched. Daarna zie ik als kwetsbaarheid (in Windows) het by default niet tonen van bestandsextensies. Als MS daar nou eens mee zou stoppen (en onverwachte zaken als DLL's laden vanaf de desktop) is het veel duidelijker welke verantwoordelijkheden er bij de gebruiker liggen, zodat in elk geval verstandige gebruikers niet worden verrast met allerlei ongein.
20-06-2008, 12:10 door Anoniem
@Bitwiper. Volgens mij lees je niet goed. Downloads
automatisch naar de desktop brengen kan best handig zijn.
Volgens mij doet Firefox dat ook. De handigheid zit 'm in
het naderhand niet afvragen waar de download is gebleven.
Het probleem zit 'm in het automatisch starten van een
(bepaalde) DLL door IE. Dat is natuurlijk te gek voor
woorden. Ik vind dat Apple wel degelijk een punt heeft; zij
kunnen er ook niets aan doen dat IE 'zomaar' DLL's van de
desktop gaat starten. En die bug is er dus nog steeds !
20-06-2008, 13:24 door Bitwiper
Anoniem op vrijdag 20 juni 2008 12:10
@Bitwiper. Volgens mij lees je niet goed.
Als ik het goed begrijp kan Safari, in opdracht van een website, of een cracker daarvan ([url=http://www.security.nl/article/18831/1/68%25_malware_op_legitieme_websites_aangetroffen.html]gecompromitteerde websites zijn er zat[/url]), ongevraagd en zonder bevestiging, een ongelimiteerd aantal bestanden van willekeurig types naar je PC downloaden. Dat is het hoofdprobleem, want ongeacht de download map is social engineering erg eenvoudig (denk 'Leesme.exe' voorzien van een tekstfile ikoontje, de meeste gebruikers zullen de de .exe extensie niet zien). MSIE (niet dat ik daar een fan van ben) zal, in elk geval op NTFS drives, aan gedownloade exefiles een ADS (Alternate Data Stream) toevoegen die je waarschuwt als je het bestand opent (andere webbrowsers doen dit niet).

Het feit dat de desktop de default download locatie is opent de mogelijkheid voor meerdere exploits die in typische download mappen niet mogelijk zijn. Zoals ik al aangaf zijn DLL's hierbij niet het enige probleem.

Downloads automatisch naar de desktop brengen kan best handig zijn
Noem eens een voorbeeld waarom een doorsnee gebruiker zou willen dat er ongevraagd bestanden op zijn desktop worden gezet.
20-06-2008, 14:52 door Anoniem
@Bitwiper. Ongevraagd is niet helemaal juist (de gebruiker
klikt erop, althans ik neem aan de gebruikers wel eerst
ergens op moet klikken). Zonder bevestiging is natuurlijk
een kwalijke zaak. Ik moet daarbij wel de kanttekening
plaatsen dat mensen slecht lezen. Dat geldt ook voor de ADS
waarschuwing. Ik blijf het zeer kwalijk van MS vinden dat ze
(bepaalde) programma's van de desktop starten. En dat is in
mijn ogen de feitelijke bug!
20-06-2008, 15:24 door Nomen Nescio
Leuk weer: het is weer allemaal de schuld van Microsoft. Als je je huis in de fik
steekt en dan de brandweer belt, is het de schuld van de brandweer als ze
niet op tijd bij je kunnen zijn om de brand te blussen.

Waarom wordt nou toch steeds weer elke fout van anderen onder de tafel
geschoffeld? Waarom geeft men nou niet eens één keer toe dat men zelf
gammele software heeft verspreid? Denk eens aan QuickTime, ook van Apple
afkomstig en het wemelt van de bugs. Maar dat is natuurlijk allemaal de
schuld van Microsoft.

Ik zit te wachten op het moment dat men van de lekken in het OS van Apple en
de lekken in Linux ook allemaal de schuld aan Microsoft geeft.

Weet je wat zo gek is? Ik heb nooit, maar dan ook nooit last van aanvallen. Ik
heb nooit een virus, ik heb misschien een of twee spammailtjes in de week
die ook allemaal keurig ontdekt en afgevangen worden. En ik werk gewoon
met Vista. Hoe zou dat nou toch komen?
20-06-2008, 16:21 door Anoniem
Goh Nomen, weer op je teentjes getrapt ! In mijn ogen is het
bovengenoemde probleem 2-ledig; Safari zou niet zomaar
(zonder bevestiging) moeten downloaden en IE zou niet zomaar
programma's op de desktop moeten starten. Naar beide worden
opmerkingen gemaakt! En wat leest good old Vista Omen .....
"oh,oh kom niet aan m'n MS".
Waarom vind je het van Apple kwalijk dat ze downloads op de
desktop plaatsen maar vind je het heel gewoon dat IE
programma's op die desktop staan 'automatisch' start?
20-06-2008, 17:45 door Regenpak
Ik wil wel eens weten wat Internet Exploder op die desktop
te zoeken heeft. Nog afgezien van dat ik het persoonlijk
haat als er icoontjes of wat voor troep dan ook op
mijn desktop terechtkomen. Daar moet gewoon een mooi mokkel
ofzo opstaan en verder niks.

Enne, Naam Onbekend, gebruik je dan ook Safari met je
geliefde Vista?
20-06-2008, 20:11 door Anoniem
Door Querulant
Leuk weer: het is weer allemaal de schuld van Microsoft. Als
je je huis in de fik steekt en dan de brandweer belt, is het
de schuld van de brandweer als ze niet op tijd bij je kunnen
zijn om de brand te blussen.
Als je een beetje
objectief kijkt kun je spreken over een fout door Safari, te
weten het ongevraagd en zonder bevestiging heimelijk
downloaden van bestanden maar ook over een oude nog
onverholpen fout in Windows omdat Internet Explorer
DLL-bestanden van de Desktop laadt als de bestandsnaam een
bepaalde waarde heeft. Verder is de Windows desktop gevoelig
voor social-engineering, waarvan Bitwiper een voorbeeld
heeft gegeven.
21-06-2008, 00:00 door Bitwiper
Anoniem op vrijdag 20 juni 2008 14:52
@Bitwiper. Ongevraagd is niet helemaal juist (de gebruiker klikt erop, althans ik neem aan de gebruikers wel eerst ergens op moet klikken).
Niks klikken. [url=http://www.dhanjani.com/archives/2008/05/safari_carpet_bomb.html]Volgens Nitesh Dhanjani[/url] volstaat het bezoeken van een kwaadaardige site om je desktop als het ware via een bom te voorzien van een 'tapijt' van bestanden.

P.S. Een verwijzing naar [url=http://www.dhanjani.com/archives/2008/05/safari_carpet_bomb.html]die page van Nitesh Dhanjani[/url] vind je op [url=http://www.security.nl/article/18706/1/Apple_negeert_beveiligingsprobleem_Safari.html]deze Security.nl page van 16 mei[/url] waar door de de redactie bovenaan de [url=http://www.security.nl/article/18923/1/Apple_patcht_eindelijk_Safari_%27tapijtbom%27.html]huidige pagina[/url] wordt verwezen.

@Regenpak: desktop = explorer.exe, en explorer.exe deelt veel code met MSIE. Bij Active Desktop wordt je desktop deels als een webpage behandeld.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.