Nieuws
image

Trio beveiligingslekken in Safari 3.1.1

woensdag 23 april 2008, 16:37 door Redactie, 5 reacties

Beveiligingsonderzoeker Juan Pablo Lopez Yacubian heeft drie lekken in Apple's Safari gevonden waardoor een aanvaller de browser kan laten crashen of het adres in de adresbalk kan vervalsen. Hierdoor kan een aanvaller het slachtoffer naar een kwaadaardige site lokken en hem of haar laten denken dat het een legitieme pagina betreft.

De kwetsbaarheden, waar nog geen patch voor is, zijn bevestigd in de Windows versie van Safari, hoewel mogelijk ook andere versies risico lopen. De onderzoeker geeft op deze pagina de mogelijkheid om de lekken te testen. Apple's browser begint volgens IT-journalist Ryan Narraine op een "bullet-ridden car in Iraq" te lijken.

Reacties (5)
23-04-2008, 16:52 door Anoniem
Zal wel aan mij liggen, maar crash 1 werkt niet:
loopt een tijdje en krijg dan netjes traag script melding

crash 2 ziet er uit als een niet exploitable null pointer exceptie, maar wie weet
dat daar nog meer in zit
23-04-2008, 18:34 door Nomen Nescio
Veilig he? Stukken beter dan Internet Explorer.
23-04-2008, 18:47 door spatieman
we lekker op safari !!
24-04-2008, 01:50 door Ronald van den Heetkamp
poc1 is eigenlijk gewoon een while lus, niet echt
spectaculair en niet betrouwbaar, omdat elke oneindige
javascript lus zorgt voor een freeze, het kan wel zijn dat
door de string allocatie op de heap, dat dit voor problemen
zorgt en kan crashen.

poc2 is een spoofing technique die ooit in MSIE is gevonden,
doormiddel van padding van een reeks karakters. Interresant
dat Safari ook weer vatbaar is, ze weten dus totaal niets
van beveiliging of de history van browser exploits af.

poc3 heb ik nog nooit gezien, is interessant.
24-04-2008, 19:38 door Anoniem
fijn, komt apple morgen vast weer vragen of ik 'm wil
instaleren en dat wil ik dus NIET, nog steeds niet, ook niet
na 10 keer vragen, bah!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search