Tapijtbom-lek in Safari na 2 jaar nog niet gepacht
Een beveiligingslek in Apple Safari waardoor aanvallers zonder toestemming allemaal kwaadaardige bestanden op de computer kunnen plaatsen, is twee jaar na dato nog altijd niet gepatcht. Onderzoeker Nitesh Dhanjani ontdekte dat de browser van Apple geen toestemming vraagt voor het accepteren van downloads. Volgens Apple ging het niet om een beveiligingsprobleem, aangezien de gebruiker nog altijd zelf het bestand moest openen. Zowel Dhanjani als anderen, waaronder Microsoft, waren het hier niet mee eens. Het lek werd zelfs uitgeroepen tot één van de gevaarlijkste lekken van 2008.
Vanwege de druk van Microsoft werd het probleem voor de Windows versie opgelost, maar de Mac OS X versie van Safari wacht nu al twee jaar op een update. "Dit betekent dat als je de Safari browser op OS X gebruikt, een aanvaller een onbeperkte hoeveelheid kwaadaardige bestanden in je downloads map kan plaatsen." Dhanjani vindt de houding van Apple onbegrjipelijk.
Doelwit
"In deze tijd worden grote bedrijven door staat gesponsorde aanvallen en bedrijfsspionage geïnfiltreerd, waar de eerste stap vaak het installeren van malware is op de desktop van de gebruikers van het aangevallen bedrijf." Door het groeiende marktaandeel van Safari en de lakse houding van Apple, wordt de browser een steeds aantrekkelijker doelwit voor aanvallers. Gebruikers en bedrijven zijn dan ook gewaarschuwd, aldus de onderzoeker.
I knew it, die overpriced bagger bewijst maar weer.
Ondanks dit vreeeslijke veiligheidsprobleem is mijn download directory nog beangstigend leeg, zit ik wel op hetzelfde internet?
Ik heb vooralsnog één situatie meegemaakt waarin dit een "probleem" was, en dat was ook nog eens in samenhang met een third party plugin die na een crash of een andere onverwachte beëindiging van safari, bij de volgende start alle openstaande tabbladen herstelt. De schade? een eerder gedownload bestand is opnieuw gedownload.
Zeker, dit kan misbruikt worden, maar ik heb het nog niet meegemaakt. Ik kan me er wel in vinden dat Apple mij niet lastigvalt met een irritante extra dialoog box, zolang dat niet nodig is.
Leak??
Ondanks dit vreeeslijke veiligheidsprobleem is mijn download directory nog beangstigend leeg, zit ik wel op hetzelfde internet?
Ik heb vooralsnog één situatie meegemaakt waarin dit een "probleem" was, en dat was ook nog eens in samenhang met een third party plugin die na een crash of een andere onverwachte beëindiging van safari, bij de volgende start alle openstaande tabbladen herstelt. De schade? een eerder gedownload bestand is opnieuw gedownload.
Zeker, dit kan misbruikt worden, maar ik heb het nog niet meegemaakt. Ik kan me er wel in vinden dat Apple mij niet lastigvalt met een irritante extra dialoog box, zolang dat niet nodig is.
Stap 1: download bestand zonder dat de gebruiker het weet
Stap 2: misbruik een bug en start het bestand van stap 1.
Stap 1: download bestand zonder dat de gebruiker het weet
Stap 2: misbruik een bug en start het bestand van stap 1.
Niet ondenkbaar?
Kinderlijk eenvoudig zul je bedoelen. Vooral omdat de 'Apple mensjes' denken dat de security altijd wel goed zit :)
Niet ondenkbaar?
Kinderlijk eenvoudig zul je bedoelen. Vooral omdat de 'Apple mensjes' denken dat de security altijd wel goed zit :)[/quote]Laat maar zien. Want de enorme OS-X botnets en de massieve vloedgolf van spam van gehackte OS-X-machines is overweldigend bewijs van hoe kinderlijk eenvoudig het wel niet is. Oh wacht, er zijn geen OS-X botnets en spammers laten al die kant-en-klare eenvoudig te exploiten postfix-installaties gewoon links liggen, ook al is OS-X inmiddels goed voor 1 op de 16 computers in deze wereld.
Niet alleen neem je niet de moeite mijn post eerst helemaal te lezen (en te begrijpen), want dan zou je gelezen hebben dat ik erken dat er een potentieel probleem is, maar los daarvan snijden ook je tegenargumenten geen van alle hout.
Problemen voorzien is een ding, maar ik heb geen enkele behoefte gebukt te gaan onder maatregelen tegen alle denkbare dreigingen.
Wil je dat onnozel en naief noemen dan ga je vooral je gang maar, maar het is niet onnozeler of naiever dat het idee veilig te zijn als je je tegen alle dankbare dreigingen hebt ingedekt, want ik garandeer je dan over het ondenkbare zult struikelen.
mensen leren het nooit...
Niet alleen neem je niet de moeite mijn post eerst helemaal te lezen (en te begrijpen), want dan zou je gelezen hebben dat ik erken dat er een potentieel probleem is, maar los daarvan snijden ook je tegenargumenten geen van alle hout.
Problemen voorzien is een ding, maar ik heb geen enkele behoefte gebukt te gaan onder maatregelen tegen alle denkbare dreigingen.
Wil je dat onnozel en naief noemen dan ga je vooral je gang maar, maar het is niet onnozeler of naiever dat het idee veilig te zijn als je je tegen alle dankbare dreigingen hebt ingedekt, want ik garandeer je dan over het ondenkbare zult struikelen.
mensen leren het nooit...
Ik heb je post wel degelijk gelezen en ook het gegeven dat je het potentiële probleem erkent maar ik vind het onnozel om ondanks deze (h)erkenning niets aan de potentiële dreiging te willen doen en behoorlijk "naïef" om te geloven dat het potentiële probleem niet bestaat als je er niet mee lastig wordt gevallen. Ik ben het overigens met je eens, in die zin dat je nooit alle - zelfs niet bij benadering alle - dreigingen kunt wegnemen en je per definitie niet veiliger zult gaan voelen als je je tegen alles probeert in te dekken. Anderzijds wordt het er natuurlijk niet beter op als je alle dreigingen dan maar gewoon negeert. Mijn plan : Pak tenminste de belangrijkste bekende problemen tijdig aan door de grootste dreiging weg te nemen ! Dus green struisvogelpolitiek maar gewoon een nuchtere rationele benadering van het probleem
Maar ik vrees : Mensen leren het nooit !
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
