Safari-lek eigenlijk ontwerpfout in Windows
Het beveiligingsprobleem in Safari waardoor een website zonder enige interactie bestanden op de desktop kan plaatsen, is eigenlijk een ontwerpfout in Windows. Na het bekend worden van de kwetsbaarheid riep Microsoft Apple op om het lek te patchen. Een dag later liet de softwaregigant weten dat het anders zelf met een update zou komen en dat is volgens onderzoeker Liu Die Yu best logisch, omdat het probleem in Windows en niet in Safari zit.
"Safari voor Windows downloadt zonder enige bevestiging bestanden op de Desktop, wat een best begrijpbare en gemakkelijke feature is. Windows Internet Explorer laadt DLL-bestanden van de Desktop als de bestandsnaam een bepaalde waarde heeft. IE laadt op deze manier dus de bestanden die door Safari zijn gedownload. Het laden van het verkeerde bestand kan voor het uitvoeren van de verkeerde code zorgen," aldus Die Yu.
Dit lek in Internet Explorer is al in 2006 aan Microsoft gemeld, maar nog altijd niet verholpen. Als bewijs heeft Die Yu deze exploit online gezet die, mits geopend door Safari, een onschuldig bestand genaamd schannel.dll op de Desktop plaatst. Dat bestand bevat een script dat de volgende keer dat men Internet Explorer start, Notepad laadt. Hoewel onschuldig, kan de lading voor kwaadaardige doeleinden worden aangepast, zoals het stelen van bestanden en installeren van malware.
"Het komt erop neer dat als het besturingssysteem een browser van derden code naar de Desktop laat schrijven die automatisch wordt uitgevoerd en elke willekeurige Windows applicatie laat starten, dat een redelijk groot beveiligingslek is," merkt Brian Krebs van de Washington Post op. Het probleem wordt vergroot omdat DLL-bestanden in Windows standaard niet zichtbaar zijn. Krebs verwacht dan ook dat Microsoft inderdaad het probleem gaat patchen, aangezien de kwetsbaarheid niet alleen via Safari te misbruiken is.
Dit zijn gewoon 2 apparte problemen. DIe samen toevallig makkelijker te
misbruiken zijn dan ieder voorzich, maar MS is niet in eens verantwoordelijk
voor het onverantwoordelijke gedrag van Safari.
1) Safari download bestanden zonder de gebruiker te vragen. Dit is hoe dan
ook een probleem was Apple zou moeten oplossen.
2) MS is zo aardig om .dll bestanden van de desktop te gebruiken als ze daar
toevallig staan.
maar de title van het bericht natuurlijk onzin.
we gewoon
Microsoft de schuld.
bevestiging bestanden op de Desktop (...)
worden bestanden heimelijk gedownload naar een aparte
downloadmap. Dat heet de Safari-lek te zijn.
Desktop als de bestandsnaam een bepaalde waarde heeft. IE
laadt op deze manier dus de bestanden die door Safari zijn
gedownload. Het laden van het verkeerde bestand kan voor het
uitvoeren van de verkeerde code zorgen.
additioneel lek, maar van Windows.
url=file://c:/windows/system32/calc.exe
Hotkey=13
I.p.v. calc werkt iets dergelijks als http://www.security.nl/article/18839/1/Beveiligingstools_Sysinternals_nu_ook_online.html wellicht ook. Icoontje aanpassen e.d. laat ik aan de skiddies over.
Conclusie: je moet desktops (ook 'all users'), de startup folders, registry 'run' keys etc. als typisch trojan-able gebieden beschouwen, vergelijkbaar met de mappen die linux/unix users in hun path hebben staan (d.w.z. elke subdir, indien . in het path is opgenomen).
Edit 2008-09-17 10:17 slashes in de internetshortcut hersteld (deze waren weg sinds de security.nl website update)
Edit 2010-08-23 23:46 diverse opmaak-correcties omdat tags als [color] en [url=bla]tekst[/url] (helaas) niet meer werken
Microsoft. Nog even en de aardbeving in China is ook de schuld van Microsoft.
beide partijen hier), is het downloaden zelf op zich niet
het probleem, dat is een feature waar je het al dan niet mee
eens kan zijn. het probleem is dat ze onder windows
automatisch uitgevoerd kunnen worden.
In die zin is het dus zeker wel de fout van microsoft die
het geheel tot een veel grotere security issue maakt (op
zich doen alle browsers in meer of mindere mate automatisch
downloaden, alleen meestal naar een temp of cache dir).
een browser controleerd, niet Windows!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.