Safari 'tapijtbom' slaat in bij Firefox gebruikers
De patch voor de 'tapijtbom' in Apple's Safari blijkt het probleem niet op te lossen, dit keer zijn echter Firefox gebruikers de dupe. Op systemen waar zowel Safari als Firefox 2 of 3 geïnstalleerd is, kan een aanvaller willekeurige bestanden stelen. De patch van Apple verhielp een probleem waardoor een aanvaller via Internet Explorer bestanden zou kunnen uitvoeren. Beveiligingsonderzoeker Billy Rios wil geen verdere details prijsgeven totdat Apple weer een patch uitbrengt.
Hij laat wel weten dat de beveiligingsmaatregelen in Firefox 3 de impact van het probleem verlagen, maar niet oplossen. Firefox 2 gebruikers lopen daarentegen wel risico en Mozilla zou inmiddels aan een patch werken. "Ik weet zeker dat we binnenkort een update zullen zien."
Cocktails
Het is niet alleen Apple dat moet vrezen, want "blended attacks" zouden de nieuwste rage in beveiligingsonderzoek zijn. Op deze manier kan een aanvaller beveiligingsmaatregelen van bepaalde software omzeilen door code via andere programma's uit te voeren. "Deze lekken zijn een perfect voorbeeld van hoe alle software en systemen die we gebruiken onderdeel van een groot ecosysteem zijn. Of we het nu leuk vinden of niet, deze verschillende delen zijn met elkaar verstrengeld en van elkaar afhankelijk." Dit maakt het mogelijk dat zelfs kleine beveiligingsproblemen grote gevolgen kunnen hebben en er is nog meer "slecht" nieuws. Door de snelle toename van plugins groeit het ecosysteem en krijgen aanvallers een groter aanvalsoppervlak.
Verantwoordelijkheid
Rios neemt het ook op voor Apple, dat vanwege haar houding veel kritiek kreeg omdat het niet de ernst van de situatie inzag. "Als Apple alleen naar Safari keek, dan was het niet zo'n groot probleem en eerder irritant. Het is alleen als je naar het ecosysteem in z'n geheel kijkt dat we de gevolgen van zulk gedrag zien."
De door de onderzoeker geschetste situatie brengt een belangrijke vraag naar voren. Gebruikers installeren software van verschillende aanbieders en ontwikkelaars. Wiens verantwoordelijkheid is het om de interactie tussen al die problemen te onderzoeken?
het lek te kijken, is er helemaal niets aan de hand. Doodgewoon bullshit dus.
hebt gemaakt voor Firefox... Kennelijk zijn de patches van
Apple net zo schadelijk of lek als de software zelf!
uit. Geen probleem dus.
Maar da's net zo veilig als een bunker bouwen op een moeras.
De veiligheid wordt bepaald door de hele keten tussen de
ADSL-stekker en de rugleuning van de stoel. Niet alleen door
de browser, niet alleen door de gebruiker en niet alleen
door het besturingssysteem.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.