Safari 'tapijtbom' slaat in bij Firefox gebruikers
De patch voor de 'tapijtbom' in Apple's Safari blijkt het probleem niet op te lossen, dit keer zijn echter Firefox gebruikers de dupe. Op systemen waar zowel Safari als Firefox 2 of 3 geïnstalleerd is, kan een aanvaller willekeurige bestanden stelen. De patch van Apple verhielp een probleem waardoor een aanvaller via Internet Explorer bestanden zou kunnen uitvoeren. Beveiligingsonderzoeker Billy Rios wil geen verdere details prijsgeven totdat Apple weer een patch uitbrengt.
Hij laat wel weten dat de beveiligingsmaatregelen in Firefox 3 de impact van het probleem verlagen, maar niet oplossen. Firefox 2 gebruikers lopen daarentegen wel risico en Mozilla zou inmiddels aan een patch werken. "Ik weet zeker dat we binnenkort een update zullen zien."
Cocktails
Het is niet alleen Apple dat moet vrezen, want "blended attacks" zouden de nieuwste rage in beveiligingsonderzoek zijn. Op deze manier kan een aanvaller beveiligingsmaatregelen van bepaalde software omzeilen door code via andere programma's uit te voeren. "Deze lekken zijn een perfect voorbeeld van hoe alle software en systemen die we gebruiken onderdeel van een groot ecosysteem zijn. Of we het nu leuk vinden of niet, deze verschillende delen zijn met elkaar verstrengeld en van elkaar afhankelijk." Dit maakt het mogelijk dat zelfs kleine beveiligingsproblemen grote gevolgen kunnen hebben en er is nog meer "slecht" nieuws. Door de snelle toename van plugins groeit het ecosysteem en krijgen aanvallers een groter aanvalsoppervlak.
Verantwoordelijkheid
Rios neemt het ook op voor Apple, dat vanwege haar houding veel kritiek kreeg omdat het niet de ernst van de situatie inzag. "Als Apple alleen naar Safari keek, dan was het niet zo'n groot probleem en eerder irritant. Het is alleen als je naar het ecosysteem in z'n geheel kijkt dat we de gevolgen van zulk gedrag zien."
De door de onderzoeker geschetste situatie brengt een belangrijke vraag naar voren. Gebruikers installeren software van verschillende aanbieders en ontwikkelaars. Wiens verantwoordelijkheid is het om de interactie tussen al die problemen te onderzoeken?
het lek te kijken, is er helemaal niets aan de hand. Doodgewoon bullshit dus.
hebt gemaakt voor Firefox... Kennelijk zijn de patches van
Apple net zo schadelijk of lek als de software zelf!
uit. Geen probleem dus.
Maar da's net zo veilig als een bunker bouwen op een moeras.
De veiligheid wordt bepaald door de hele keten tussen de
ADSL-stekker en de rugleuning van de stoel. Niet alleen door
de browser, niet alleen door de gebruiker en niet alleen
door het besturingssysteem.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
