Kritiek lek in Mac OS X ontdekt
Lixlpixel heeft een kritiek lek in Mac OS X ontdekt waardoor kwaadaardige websites een kwetsbaar systeem kunnen compromitteren. Het probleem is dat de "help" URI handler het uitvoeren van willekeurige locale scripts toestaat. Het is mogelijk, als de Safari browser op een bepaalde manier is geconfigureerd, om willekeurige bestanden, waaronder script bestanden, op bekende locaties op het systeem van de gebruiker te plaatsen. Als oplossing wordt aangeraden om de URI handler te hernoemen, niet als een privileged gebruiker te surfen of een instelling in Safari te wijzigen. Het lek is aanwezig in Macintosh OS X met Safari 1.2.1 (v125.1) en Internet Explorer 5.2. Meer informatie kan in deze advisory gevonden worden.
Als het toepasbaar is in IE én Safari, dan is het toch een lek in het OS?? Hoe
kan dat nu? Mac OS X is toch niet van Microsoft? Oh nee, niet alleen bij
Microsoft maken ze fouten...
</FLAME>
Maar het ene bedrijf meer dan het andere. Of kan beter met de fouten
omgaan...
automatisch verwerken' in Safari wordt uitgezet, werken ze wel hetzelfde. Je
zou kunnen zeggen dat het eerder een kwetsbaarheid is, die veroorzaakt
door HelpViewer. HelpViewer maakt het mogelijk om scripts uit te voeren,
zoals ook boven staat aangegeven.
Leuk die FLAME boven, je zou bijna denken dat het altijd dezelfde mensen
zijn die niet weten waar ze het over hebben en toch altijd even hun ei kwijt
moeten.... Blijkbaar zit er wat dwars.
Wel fijn dat je het kwijt bent of niet? ;-)
security.nl teisteren.
en met de hand executen..... betekent dat ALLE browsers lek zijn op elk
platform?
volledig vanzelf. Je klikt een link aan naar een site of programma en
volautomatisch (dus zonder dat je zelf een script met de hand execute) wordt
je Home-folder gedelete.
Normaal download je iets, pakt het uit en start het. In dit geval is dat niet eens
meer nodig...
browser-probleem in OS X. Hoeveel ernsite browserproblemen
had men met IE op Windows ook al weer? En hoeveel van die
problemen zijn nog niet gefixt?
Tuurlijk heeft Apple de verantwoordelijkheid om dit probleem
op te lossen, maar aan de andere kant vinden alle mensen die
met Windows werken het maar wat leuk om nu eens een
beschuldigend vingertje te wijzen naar een niet-Microsoft
product.
Ik gok dat er tussen nu en drie maanden wel weer een remote
root exploit uitkomt voor Windows. Sorry, dat moet ik een
undocumented remote administration feature noemen.
Ik gok dat er tussen nu en drie maanden wel weer een remote
root exploit uitkomt voor Windows. Sorry, dat moet ik een
undocumented remote administration feature noemen.
Dat telt niet he, want Windows wordt het meest gebruikt, dus
dan mag het.
het is toch niej normaal meer die virussen en leks</quote>
nee inderdaad!!! het was veel leuker zonderd ie problemen
<quote>
het is toch niej normaal meer die virussen en leks</quote>
nee inderdaad!!! het was veel leuker zonderd ie problemen
sukkels!
Die miljoenen die Windows gebruiken en waarop iedere halve zool die
een hekel heeft aan MS gefixeerd is , hebben dus vanzelf meer
problemen. Dat ze daarnaast een veel goedkoper systeem hebben met
veel vaak gratis software maakt weer veel goed ;)
.
Och, en waar hebben we het nu over? Over het eerste ernstige
browser-probleem in OS X. Hoeveel ernsite browserproblemen
had men met IE op Windows ook al weer? En hoeveel van die
problemen zijn nog niet gefixt?
Tuurlijk heeft Apple de verantwoordelijkheid om dit probleem
op te lossen, maar aan de andere kant vinden alle mensen die
met Windows werken het maar wat leuk om nu eens een
beschuldigend vingertje te wijzen naar een niet-Microsoft
product.
Ik gok dat er tussen nu en drie maanden wel weer een remote
root exploit uitkomt voor Windows. Sorry, dat moet ik een
undocumented remote administration feature noemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?