Apple mist patch-deadline voor spoofinglek in Safari
Safari is kwetsbaar voor een spoofingaanval waardoor gebruikers kunnen denken dat ze bijvoorbeeld op hun banksite zitten terwijl dit niet het geval is. Een update van Apple is echter nog niet voorhanden. De kwetsbaarheid werd door onderzoeker Rafay Baloch gevonden.
Hij ontdekte dat zowel Microsoft Edge als Apple Safari het toestaan dat JavaScript de adresbalk aanpast terwijl de pagina nog aan het laden is. Zodoende is het mogelijk om in de adresbalk een domeinnaam te laten zien terwijl er vanaf een ander domein content wordt geladen. Baloch waarschuwde Microsoft op 2 juni, waarna er op 14 augustus een update voor Edge verscheen.
Ook Apple werd op 2 juni ingelicht. De onderzoeker gaf Apple 90 dagen de tijd om het probleem te verhelpen. Aangezien er nog geen update is verschenen heeft Baloch besloten de details openbaar te maken. Wel stelt de onderzoeker dat de kwetsbaarheid via een toekomstige Safari-update zal worden verholpen.
We hebben nu in elk geval een reden (spoofing) waarom je het beter is als dit niet kan.
Als tijdelijke maatregel (workaround) kun je JavaScript in de browser uitschakelen.
Dat doe je als volgt:
Start Safari op en ga naar de menubalk "Safari" klik daarop en ga naar "Voorkeuren". Vandaar uit zoek je tabblad "Beveiliging" op en haal je het vinkje weg bij "Webmateriaal" -> "Schakel JavaScript in". Sluit daarna af.
De aanval kan nu niet meer worden uitgevoerd.
A) De methode die ik hierboven beschreef werkt dus goed, maar er zijn ook websites die niet meer functioneren indien JavaScript is uitgeschakeld. Daar moet men dus wel even rekening mee houden.
Wie bijvoorbeeld inlogt op webmail van xs4all zal merken dat bij een uitgeschakelde JavaScript geen posts worden afgebeeld. In zo'n geval moet JavaScript dus worden ingeschakeld.
B) Voor Safari-gebruikers is het ook mogelijk om de laatste Firefox browser te installleren want daar werkt deze spoofing-aanval niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
