Nieuws
image

Microsoft: Apple moet Safari-lek patchen

vrijdag 30 mei 2008, 10:10 door Redactie, 7 reacties

Als het gaat om de veiligheid van haar gebruikers laat Apple zich weer eens van haar slechtste kant zien, tot groot ongenoegen van vele beveiligingsonderzoekers en zelfs Microsoft. Twee weken geleden demonstreerden twee onderzoekers hoe kwaadaardige websites bestanden op de desktop kunnen plaatsen, zonder dat de gebruiker hiervoor toestemming hoeft te geven of dit zelfs weet. Apple's browser blijkt geen toestemming voor het downloaden van bestanden te vragen. Volgens beveiligers een serieus beveiligingsprobleem, maar de gigant uit Cupertino steekt haar kop in het zand.

Apple maakt allerlei reclame waarin het de veiligheid van haar software benadrukt, maar in werkelijkheid negeert het dit soort ernstige problemen. "Als het gaat om het reageren op legitieme security dreigingen, is Apple lichtjaren verwijderd van wat ze in haar eigen reclames belooft," zegt Dancho Danchev. "Standaard gebruikersrechten zijn nodig om naar de desktop te schrijven. Weet je wat een standaard gebruiker verder doet? HET UITVOEREN VAN CODE," valt een geïrriteerde onderzoeker Dan Kaminsky zijn collega bij.

Eerder waarschuwde Microsoft's Robert Hensing al voor de gevolgen als aanvallers dit lek met een andere kwetsbaarheid combineren. "Denk bijvoorbeeld aan een combo-aanval waarbij een lek wordt gebruikt om een EXE op de desktop te plaatsen en een nog onbekend lek om het bestand uit te voeren." Hensing laat weten dat de aanvallers al op de helft zitten om willekeurige code op systemen uit te voeren. Het is echter de vraag of de andere helft wel nodig is, aangezien een aanvaller een bestand op de desktop allerlei interessante namen zou kunnen geven of laten lijken op al aanwezig iconen en bestanden. Een gebruiker is dan een klik verwijderd van een infectie.

Microsoft securitychef Roger Halbheer geeft Apple er ook van langs. Hij sprak onlangs over het verantwoord melden van beveiligingslekken. "En dan, wat doet de vendor ermee? Hoe reageert het bedrijf erop?" Door de manier waarop Apple nu reageert, wordt security binnen de industrie niet goed aangepakt en het verantwoord melden van beveiligingslekken niet gepromoot. Hij roept het bedrijf dan ook op het lek te patchen.

Reacties (7)
30-05-2008, 11:34 door Anoniem
En MickeySoft zou toch aan Sanbdboxing doen? NOT!
30-05-2008, 11:41 door Anoniem
Aha, zou dat het zijn waarom ik de melding krijg dat er
ongebruikte icoontjes op m'n bureablad staan terwijl ik
helemaal geen iconen op het bureablad heb?
30-05-2008, 11:51 door e.r.
De pot verwijt de ketel?

Begrijp mij niet verkeerd. Ik ben een MS voorstander, maar zij patchen ook niet
altijd alles even snel...
Niet dat ze ongelijk hebben, maar ze mogen hun eigen advies ook
aannemen :)
30-05-2008, 12:49 door Anoniem
Ik kan maar één ding zeggen: De pot verwijt de ketel dat hij zwart ziet!
30-05-2008, 14:19 door Ed Dekker
Iemand nog ActiveX?
30-05-2008, 19:17 door Anoniem
maar de gigant uit Cupertino steekt haar kop in het
zand.

Het woord gigant is mannelijk. Dus het moet zijn: "steekt zijn kop in het zand"

De Belgen hebben gelijk: in Nederland heerst de haar-ziekte...
01-06-2008, 16:05 door Nomen Nescio
Door e.r.
De pot verwijt de ketel?

Begrijp mij niet verkeerd. Ik ben een MS voorstander, maar zij patchen ook niet
altijd alles even snel...
Niet dat ze ongelijk hebben, maar ze mogen hun eigen advies ook
aannemen :)
Het grote verschil is dat Apple WEIGERT te patchen!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search