Hoofdcategorieën

[RSS] Index » Nieuws » Core » Software » Browsers » Microsoft: door lek geen Safari gebruiken onder Windows

Microsoft: door lek geen Safari gebruiken onder Windows

Door Dimitri Reijerman, zondag 1 juni 2008 13:02, views: 25.188

Microsoft waarschuwt dat door een bug in Apple's Safari-browser de desktop bezaaid kan raken met besmette executables. Door de Safari-bug te combineren met een nog niet gedicht lek in IE kan malware ook geïnstalleerd worden.

Safari en IE logo'sDe bug in Safari werd op 15 mei gepubliceerd door veiligheidsonderzoeker Nitesh Dhanjani. Een kwaadwillende kan het bureaublad van een slachtoffer middels een 'carpet bombing'-aanval geheel vullen met opstartbare malware-bestanden. Dit is mogelijk omdat Safari nooit middels een dialoogvenster om toestemming vraagt voordat de browser begint met het downloaden van bestanden. Met een eenvoudig script kan de standaard downloadlocatie van Safari, in de Windows-versie vrijwel altijd de desktop, worden vervuild. Apple's veiligheidsteam liet echter weten dat het door Dhanjani geschetste probleem niet als een acuut veiligheidslek wordt beschouwd en dat het vermoedelijk nog wel even zal duren voordat een toekomstige versie van Safari de gebruiker bij een downloadactie eerst om toestemming zal vragen.

Collega-onderzoeker Aviv Raff heeft echter ontdekt dat de bug in Safari misbruikt kan worden in combinatie met een bekend maar nog niet gedicht lek in Internet Explorer. Hierdoor kan ongemerkt kwaadaardige code op de pc van een gebruiker worden geïnstalleerd. Microsoft onderkent het probleem en heeft een security advisory uitgegeven waarin gebruikers wordt aangeraden om Safari voorlopig niet te gebruiken, totdat Apple zijn browser van een veiligheidsupdate voorziet. Ook belooft de softwaregigant met een patch voor Internet Explorer te komen, maar onduidelijk is nog wanneer en in welke vorm. Raff stelt echter dat hij Microsoft al een jaar geleden op het lek in zowel Internet Explorer 6 als 7 heeft gewezen, maar dat het softwarebedrijf nu pas actie lijkt te gaan ondernemen.

Volgende 15:00
Vorige 12:10

Categorieën

Gerelateerde artikelen

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 187 reacties zichtbaar1870 Neutraal: 132 reacties zichtbaar132+1 Meerwaarde: 14 reacties zichtbaar14+2 Verplicht leesvoer: 0 reacties zichtbaar0
«  1  2  3  »

Door n4m3l355, zondag 1 juni 2008 13:06

Score: 0
Dat dit kan komen is voor mijn gevoel nog niet zo erg, maar het meest vervelende is nog wel dat iTunes Safari keurig mee installeerd heden ten dagen wat juist extra bijdraagt aan het verspreiden van viri. En om dan als producent van een browser dit probleem te negeren, is toch wel erg imo...
--edit--
zie draadje over het mee-installeren

[Reactie gewijzigd door n4m3l355]

Door JapyDooge, zondag 1 juni 2008 13:08

Score: 0
Voor zover ik weet is dat een optie in de installatie die standaard uit staat? :?

Door rulus, zondag 1 juni 2008 13:29

Score: 0
Nee, Safari wordt werd mee geïnstalleerd met een iTunes update, je moet het excpliciet uitschakelen als je 't niet wil installeren; dat is net het punt.

[Reactie gewijzigd door rulus]

Door pe1dnn, zondag 1 juni 2008 20:11

Score: 0
Afgelopen week nog een popup gehad van iTunes update, de "update" was zelfs alleen Safari, niet eens een nieuw iTunes versie (of Quicktime dat ook elke keer door de strot geduwd wordt door Apple, maar geloof ik helaas noodzakelijk is voor iTunes).

Ik erger me elk keer kapot over het aanbieden van Safari, ik ben een teveden FireFox gebruiker. Telkens maar weer uitvinken, helaas geen optie om te zeggen dat ik dit soort updates niet wil zien. Misschien moet ik de update functie van iTunes helemaal uitzetten, want de afgelopen updates waren ook alleen maar voor meuk zoals Apple TV en iPhone ondersteuning waar ik ook niets aan heb.

Hoe dan ook, Apple heeft deze bedenkelijke werkwijze nog geenszins veranderd.

Door CyBeR, maandag 2 juni 2008 00:30

Score: 0
In de MacOS X software update kun je updates ignoren door te selecteren en te backspacen. Probeer dat eens?

Door maxmaniax, zondag 8 juni 2008 20:40

Score: 0
dan nog.. ik ga echt geen safari gebruiken.. ookal zit het bij Quicktime of iets van apple ingebakken of gebundeld..

Door darkjeric, zondag 1 juni 2008 13:32

Score: 1
Nee, hij staat standaard aangevinkt, maar je kunt hem wel eruit halen en ook aanduiden dat hij dit in de toekomst niet meer mag meenemen in de updatecyclus.
Blijft wel smerig dat 'ie standaard aan staat, zo heb ik Safari per ongeluk eens geïnstalleerd. Ze mogen van mij best een pop-upje tonen bij de update van iTunes, maar als ik iTunes download is het nogal duidelijk dat ik op dat moment niet naar een browser op zoek ben niet?

Dit even geheel terzijde. Meer ontopic: Wel grappig. Dit is in feite een mogelijke exploit dankzij de combinatie van een nalatigheid in Safari en een bug in IE. Best of both worlds :+

Door marcieking, zondag 1 juni 2008 14:35

Score: 0
Je kunt op een website ook zonder dat je ergens op klikt een bestand laten downloaden. Safari zou dan meteen beginnen. Als ik dus op mijn website een link zet naar een aantal van die 1GB testfiles om je internetverbindingssnelheid te checken heb jij ze meteen binnen :)

Door Blokker_1999, zondag 1 juni 2008 14:47

Score: 0
Op Mac heb je gewoon geen virussen dus heb je ook geen waarschuwingen nodig
Das echt zever. Ook OS X heeft bugs, sommige kunnen misbruikt worden. Er zijn reeds proof-of-concepts. Het is slechts een kwestie van tijd voordat iemand ook effectief een kwaadaardig virus zal schrijven en dan staan alle Apple users daar met hun onveilig systeem 'omdat er toch niets kan gebeuren'.

Door Bazilfunk, zondag 1 juni 2008 17:33

Score: 0
een kwestie van tijd? Die tijd duurt dan toch al heel lang.
Het is gewoon idioot te stellen er ooit wel een dag komt want dat wordt al zolang voorspeld en het lukt niemand dan ook maar om een werkbaar virus rond te sturen. Virussen werken enkel bij systemen zoals windows die zo dominant aanwezig zijn dat ze gewoon zeer vatbaar zijn voor besmetting. Het is wel zo dat moest Windows minder dominant marktaandeel hebben het ook minder vatbaar zou zijn voor virussen. Marktaandeel speelt zeker een rol maar Macs zullen nooit zo'n dominant marktaandeel innemen dus hou je waarschuwingen voor windowsgebruikers. Macs kunnen gewoon zeer moeilijk besmet worden, los van het feit of OSX veiliger is of niet.

Door ExNomenDei, dinsdag 3 juni 2008 07:28

Score: 0
Er worden virussen voor de raarste en kleinste markten geschreven, zoals bijvoorbeeld omgebouwde PSP's met verouderde firmware. Ik denk dat je punt totaal nergens op slaat.

Door Denni, zondag 1 juni 2008 18:25

Score: 0
Tja dat zeggen de bashers al jaaaaren(sinds Mac OS 10.0, 2000). Al 8 jaar dus in het totaal. Denk je niet dat Mac OS X voor virusschrijvers een uitdaging is? Ze weten best dat ze dan op de voorpagina van de krant komen. En al acht jaar is het niemand gelukt om een virus voor Mac OS X te maken.
Dat OS X bugs heeft wil niet zeggen dat virussen mogelijk zijn. OS X zorgt ervoor dat virussen zich niet automatisch kunnen verspreiden. Daarom zijn het geen virussen meer maar hoogstens trojaanse paarden.

En als er een systeem altijd al onveilig is geweest is het Windows. Dus zelfs als er een virus uitbreekt zal Mac OS X een stuk veiliger zijn.

Tevens is dit probleem simpel op te lossen door bijvoorbeeld een limiet van 1 download per file te maken, en anders wordt er een melding gegeven.

[Reactie gewijzigd door Denni]

Door matiov, maandag 2 juni 2008 00:43

Score: 0
virusje voor os x maken is echt extreem simpel hoor. t verspreiden van een virusje is echter wat moeilijker omdat je langer moet zoeken voor een os x machine in vergelijking met windows bakken...

Door BlackShadow, maandag 2 juni 2008 08:57

Score: 0
Elk stuk software bevat veiligheidslekken en is dus ook 'onveilig'.
Het is dan ook heel logisch dat het voor een veelgebruikt OS interessanter is om virussen te schijven.

Door triflip, maandag 2 juni 2008 01:17

Score: 0
Het gaat er meer om dat de personen die een virus schrijven de grootste groep willen raken en dit is nog altijd de windows gebruikers groep, dus waarom de moeite doen om OS X te besmetten als windows makkelijker is en je er een grotere groep mee raakt.

Door MacPoedel, zondag 1 juni 2008 16:56

Score: 1
Soms kan je op een link duwen die er niet uitziet als een downloadlink, maar het wel is. Ook op een Mac. Dat je dan geen virus downloadt (omdat er zogezegd geen zijn), wil nog niet zeggen dat je zo geen ongewenste bestanden kan binnenhalen. En sommigen moeten heel hard letten op hun downloadverbruik, dus zo kunnen wel leuke grapjes uitgehaald worden. Dat is toch gewoon logisch dat je een notificatie krijgt als je iets aan het downloaden bent.

(of wil een Apple-gebruiker niet weten wat zijn pc doet dan?)

Door Bazilfunk, zondag 1 juni 2008 17:38

Score: 0
Tuurlijk wil je dat weten, maar als je iets download op je mac komt dat in een downloadfolder terecht en die download folder maakt een sprongetje in je dock als je iets download dus je bent echt wel op de hoogte van wat er gebeurt. Je hoeft echt niet te worden doodgeslagen met pop ups om te weten wat er met je computer gebeurt.

Door jopiek, zondag 1 juni 2008 19:02

Score: 0
Mac opent bestanden (iig vanaf Leopard) gewoon niet automatisch en als het van internet komt en nog niet eerder geopend is, krijg je de vraag of je het zeker weet, itt Vista waar alles continu via popupschermpjes je constant irriteert (ik gebruik geregeld zowel Vista en XP als Mac OS, dus kan het redelijk objectief vergelijken)

Door SpikyDude, zondag 1 juni 2008 18:57

Score: 0
Het geen wat ik zo ontzettend irritant vind waardoor ik alle software van Apple nu ook maar links laat liggen is dat wanner ik Quicktime (dit heb ik ook alleen maar omdat je bepaalde bestanden alleen met Quicktime kan afspelen) wil installeren of updated moet ik ook Itunes installeren... ik wil dit stukje software niet eens op mijn PC hebben omdat het troep is.

Ik ben van mening dat Apple ectht de verkeerde kant op gaat met het verplicht stellen en automatisch aanvinken van software dat met een aplicatie mee wordt geinstalleerd.

Door Athalon1951, zondag 1 juni 2008 19:59

Score: 0
Dat is een kwestie van de alternatieve versie installeren. :/

Door k7of9, maandag 2 juni 2008 00:25

Score: 0
Nice try. Vreemd genoeg heb ik niks over MS gezegd. Dus waarom ik een MS fanboy zou zijn is mij een raadsel. Kritiek hebben op Apple is mogelijk zonder daardoor meteen een MS fanboy te zijn. Ook een keer iets niet negatiefs van elkaar nalullen over MS maakt je niet tot een MS fanboy. Echte fanboys heeft MS amper. Bovendien, mijn kritiek is niet eens gericht op Apple maar op de schapen die het achter zich weet te scharen. Of ga je beweren dat Apple fanboys niet de grootste zealots zijn die er zijn? En Linux, hoe past dat in dit verhaal? Heb ik ook niet in de mond genomen.

*k7of9 is overigens tevreden Ubuntu, Firefox, Thunderbird, Oo, Banshee, Inkscape, xbmc, e.v.a. gebruiker. Misschien plaatst dat eea in perspectief voor je.

[Reactie gewijzigd door k7of9]

Door Sqewie, zondag 1 juni 2008 15:19

Score: 0
Het is toch wel Microsoft die zulke smerige "trucjes" doet hoor. Bijvoorbeeld express bugs maken bij de ondersteuning van Quicktime, omdat Microsoft als enigste video playback wilt hebben.

""Microsoft Sabotages QuickTime on Windows
While Microsoft was pressing Apple to withdraw from the media playback market, "Microsoft took several steps to sabotage QuickTime," reported Tevanian in his monopoly trial testimony.""

http://www.roughlydrafted...9A-9515-531B0CA0C29C.html

Door Bliksem B, zondag 1 juni 2008 16:35

Score: 0
Wat ik nu wel smerig vind van Microsoft is deze uitspraak wat precies jouw punt zegt:
Microsoft onderkent het probleem en heeft een security advisory uitgegeven waarin gebruikers wordt aangeraden om Safari voorlopig niet te gebruiken, totdat Apple zijn browser van een veiligheidsupdate voorziet. Ook belooft de softwaregigant met een patch voor Internet Explorer te komen, maar onduidelijk is nog wanneer en in welke vorm.
Lekker makkelijk om nog ff geen patch uit te brengen voor IE6/7, zodat je kunt zeggen dat je je concurrent zijn browser niet moet gebruiken, omdat ze nog geen patch hebben ter beveiliging van Windows :Y)
Zelfde als je zegt "je moet geen auto kopen bij de Jappie garage, want door een fout in hun auto's wordt door middel onze gigantische fout (wie we al ruim een jaar kennen) in onze motors wie zij gebruiken, kapot en ontploft je auto (beetje overdrijven toch ;)...) " 8)7

[Reactie gewijzigd door Bliksem B]

Door blouweKip, zondag 1 juni 2008 16:40

Score: 0
Ik had dat vroeger ook, kreeg ik zomaar ongevraagd een browser (IE) en een "vervanger" voor opengl in het os wat ik destijds gebruikte, jammer dat de EU/DOJ daar niets tegen heeft gedaan :S

Vergeet ook niet dat de MS mentaliteit bedrijven het gevoel geeft dat ze meer kunnen flikken bij consumenten.

Als je bovendien naar de issues kijkt dan zie je dat het een probleem is dat voornamelijk bij het platform ligt waarop safari draait, maw, de noodzakelijke voorwaarde voor dit probleem is een windows install met een brakke IE erop...niet echt iets wat je apple kan verwijten.

Door Boeboe, zondag 1 juni 2008 20:48

Score: 0
Ik had dat vroeger ook, kreeg ik zomaar ongevraagd een browser (IE) en een "vervanger" voor opengl in het os wat ik destijds gebruikte, jammer dat de EU/DOJ daar niets tegen heeft gedaan :S
IE is een essentieel onderdeel van windows. Of wou je nu ook gaan klagen dat ze standaard Konqueror met KDE meegeven terwijl jij liever firefox gebruikt? 8)7 .
Over directx vs opengl: daarvoor moet je bij je gameproducenten klagen. Professionele toepassingen ondersteunen voor zover ik weet zo goed als allemaal opengl.

Door multimediacar, zondag 1 juni 2008 13:08

Score: 0
Omdat Safari automatisch mee geinstalleerd wordt (wat ik sterk betwijfel eigenlijk), betekent het nog niet dat Safari meer gebruikt wordt.


Heb het nu even getest, Safari zit helemaal niet in iTunes. En in de update als je daar zou naar verwijzen staat het standaard UIT.

[Reactie gewijzigd door multimediacar]

Door catfish, zondag 1 juni 2008 13:31

Score: 0
nu wel ja, onlangs was het wel zo
door de vele kritiek heeft Apple het er weer uit gehaald

Door wiels, zondag 1 juni 2008 13:51

Score: 0
Nee, een paar weken geleden stond ie gewoon aan en werd bij het updaten van Itunes, Safari gewoon mee geïnstalleerd. Dit was voor mij de druppel. Daarom had ik deze apple updater en quicktime eraf gesmeten. Echter blijkt Itunes Quicktime te gebruiken, dus staat het er ondertussen terug op.
Ben wel nog op zoek naar een goede Itunes vervanger die ook automatisch muziek afspeeld, mijn ipod aankan en die de library + ratings van itunes kan importeren. Zodat ik eindelijk die Quicktime, AppleMobileDeviceHelper??, ItunesHelper??, Itunes, appleUpdater... er af kan smijten!
Iemand een idee?

[Reactie gewijzigd door wiels]

Door Omega007, zondag 1 juni 2008 14:01

Score: 0
iTunes zonder QT: http://www.mydigitallife....itunes-without-quicktime/

QuickTime Alternative
QuickTime Alternative will allow you to play QuickTime files (.mov, .qt, .3gp and other extensions) without having to install the official QuickTime Player. It also supports QuickTime content that is embedded in webpages.

As a bonus, Internet Explorer will play all QuickTime movies that are embedded in a webpage. You do need a media player that is capable of playing QuickTime files. The included Media Player Classic supports it and works very well. The QuickTime Browser plugin supports Internet Explorer, Opera, Netscape and Mozilla. The QuickTime plugins include iPIX and QuickTimeVR.

Heb het niet getest, ik heb gelukkig geen iPod

Door kami124, zondag 1 juni 2008 14:33

Score: 0
eej bedankt voor de link. ik vroeg me al af hoe het moest :).

maaruh kijk dat safari standaard staat aangevinkt is idd een slechte zaak, maar dat je perse quiktime moet gebruiken als je een ipod en dus itunes gebruikt vind ik nog veel erger. En dan zegt europa wat van windows en hun media player :O.

Door AlexanderB, zondag 1 juni 2008 14:10

Score: 0
winamp heeft (zover ik weet) al die functies ;)
probeer het eens :)

Door musback, zondag 1 juni 2008 14:13

Score: 0
Winamp + "ml_iPod" plugin je kan de ratings/playcounts, eender wat importeren... gewoon een xml library export doen van je huidige iTunes bib en deze dan importeren in Winamp... of misschien dat je ook gewoon je iTunes Bib (het xml bestand dat er nu staat) ook gewoon kan importeren? dat weet ik niet zeker.

Synct PERFECT met m'n iPod classic, is sneller, mooier, kan veeeeel meer, ......... dan iTunes. Welcome to the magical world of: folder watching, global hotkeys, skins, visualizations, .... Noem maar op, niks dan voordelen.
Het is wel even wennen, maar geloof me, dat is het waard.

en last but not least... heb je geen vuile quicktime meer nodig ;) (installeer gewoon quicktime alternative voor de mp4/.mov bestandjes te kunnen spelen.)

[Reactie gewijzigd door musback]

Door Denni, zondag 1 juni 2008 18:37

Score: 0
Sorry hoor maar er is veel ergere software waarvan je niet eens weet dat er software mee wordt geïnstalleerd. Eigenlijk is dat vinkje gewoon zo erg gehyped dat men apple opeens als slecht beschouwt(microsoft fanboys: Hoera Microsoft is toch niet de enige Satan, blablabla). Sorry maar alleen omdat een vinkje een tijdje standaart aan stond wil dat zeggen dat apple slechte producten aflevert? Je loopt gewoon met de stroom mee, vooral omdat de baas van Mozilla Apple Software Update opeens als malware aanprees(bang voor marktverlies maar goed).

Door Zwerver, zondag 1 juni 2008 13:11

Score: 0
Het vullen van het bureaublad met executables is imho alleen maar heel lastig. Maar dat er een bug in IE zit (al een jaar blijkbaar) en dat er niks aan gedaan is lijkt me veel storender... Het is dan natuurlijk wel heel erg simpel om als MS naar die andere fabrikant te wijzen, maar zelf eerst je spullen fixen lijkt me toch echt wel de juiste gang van zaken.

Dat neemt overigens niet weg dat het nogal een slechte zaak is dat Apple niet bereid is dit als een security-lek te kwalificeren....

Door catfish, zondag 1 juni 2008 13:35

Score: 0
technisch gezien kan een kwaadwillige dus bv kinderporno op jouw pc plaatsen (hoeft niet per se een virus te zijn) en op dat moment ben je strafbaar
(tenzij jij kan bewijzen dat je het daar zelf niet gezet hebt, veel succes)

Door Cameleon73, zondag 1 juni 2008 14:35

Score: 0
Aan de andere kant kan dit ook weer een verdediging worden: 'Ja, maar er zit een bekend probleem in Safari, waardoor ik bestanden kan binnenhalen zonder dat ik het weet'. Voor de kinderporno-downloaders dus een tip: installeer Safari en ontduik vervolging! :+

Door poepkop, zondag 1 juni 2008 23:27

Score: 0
technisch gezien uit mijn ogen... ben jij diegene die die de downloadlink aanklikt en download safari alleen maar automatisch, wat bij een mac heel fijn werkt (met de 'dit is een bestand van internet' melding). Goed, zo zou je ook kunnen zeggen dat firefox hetzelfde lek heeft omdat deze automatisch bepaalde bestandstypen kan downloaden of uitvoeren. of zie ik dit nou verkeerd?
volgens mij is het gewoon een hoop heisa en moddergooien.

en dat vinkje: tja, kijk en lees gewoon wat je doet en het is geen probleem. Mensen moeten gewoon niet te snel op next drukken en alles aanvinken!

Door Niemand_Anders, maandag 2 juni 2008 10:21

Score: 1
Zowel in Internet Exporer, Firefox en Opera krijgt ik netjes een popup of ik het bestand wil opslaan of wil openen. In Safari (onder windows) krijg ik deze melding niet. Onder OSX krijg je WEL een melding dat je een bestand vanaf internet wilt opslaan. Onder Windows krijg je deze melding dus niet.

Daarbij hoef je niet op een download link te klikken. Via javascript kan ik de src van een image wijzigen naar een bijv executable en Safari download hem automatisch naar de desktop. Ik kan het zelfs in een flash banner plaatsen en deze bijvoorbeeld doubleclick verspreiden.

Ik blijf het dus kort door de bocht vinden dat Apple nu zegt: "Dit is ons probleem niet". Feit is dat als jij Safari niet gebruikt je desktop niet wordt bezaaid met malware. Ik vind het dan ook volstrekt logisch dat Microsoft Safari nu als een beveiligings risico zeerzet.

Wij hebben inmiddels hier al de group policy aangepast zodat Safari hier niet meer gebruikt kan worden.

Door Ghoztmaster, zondag 1 juni 2008 14:37

Score: 0
Volgens mij vullen beide fouten elkaar gewoon aan en is de één niet storender dan de andere, het heeft in deze geen zin om naar de ene of de ander partij te wijzen, ze moeten het gewoon allebei oplossen.

Door Pietervs, zondag 1 juni 2008 16:59

Score: 1
Het vullen van het bureaublad met executables is imho alleen maar heel lastig.
Het is meer dan lastig: de gemiddelde gebruiker heeft geen idee wat die icoontjes betekenen en gaat die executables dus opstarten. In het beste geval zit er 1 progje bij dat de harde schijf wist, in het slechtste geval worden al zijn persoonlijke gegevens incusief creditcard- en bankgegevens doorgestuurd naar een of andere website.

Je met een hamer op je vingers slaan is lastig, zeker als je regelmatig wil posten op T.net. Een buroblad vol met voor de eigenaar onbekende icoontjes waar programma's achter blijken te zitten kan ronduit rampzalig zijn!

Door Athalon1951, zondag 1 juni 2008 20:06

Score: 0
Tsja, misschien een sandbox gebruiken, dan moet je elke file expliciet toestemming geven om zich überhaupt te mogen opslaan waar dan ook in het systeem, zelfs de downloads (die je zelf kiest) worden tijdelijk opgeslagen, recover je die dingen niet naar wat voor folder ook, verdwijnen ze weer als sneeuw voor de zon als je de browser en sandbox sluit. (helaas ondervonden na een XP SP3 van 300 Mb, had hem gedownload maar vergeten veilig te stellen en op het moment dat ik de browser afsloot was de file die ik zo bloedig had zitten downloaden verdwenen van mijn schijf). 8)7 Eigen schuld probleempje :X

Door aikebah, zondag 1 juni 2008 13:15

Score: 0
Niet vragen om een bevestiging bij het downloaden kun je ook gewoon een 'browser-feature' noemen. Ik erger me vaak dood aan die pop-up.... ja ik bezoek een FTP URL... tuurlijk wil ik dat bestand opslaan :z

Gezien de beperkte info over het gecombineerde lek vermoed ik dat dat veroorzaakt wordt door de thumbnail/preview functionaliteit in Explorer (MS raad aan de download locatie te verplaatsen waarna de vulnerability zou zijn verdwenen, maar de reporters melden dat dat onvoldoende is).

Ik verwacht dan ook dat de combined vulnerability ook bestaat voor andere browsers mits de gebruiker gewoon altijd op 'opslaan' klikt (zoals de gemiddelde gebruiker toch al doet (als die al niet gewoon op 'openen' klikt)

Door webshit, zondag 1 juni 2008 14:17

Score: 0
Niet vragen om een bevestiging bij het downloaden kun je ook gewoon een 'browser-feature' noemen. Ik erger me vaak dood aan die pop-up.... ja ik bezoek een FTP URL... tuurlijk wil ik dat bestand opslaan :z
Ik weet het niet bij IE en Firefox, maar bij Opera is de feature aanwezig :z
Hoe dan ook is het steeds aangeraden om zo een download boxje te gebruiken.

Door webshit, zondag 1 juni 2008 14:57

Score: 0
Eum neen want 'carpet bombing' is OS onafhankelijk, als geen download boxje gebruikt bij Opera kan je die techniek perfect gebruiken onder elke OS.

Door Nickname55, zondag 1 juni 2008 13:17

Score: 0
Volgens mij niet meer. Ik heb vorige week nog op een pc van een kennis iTunes geïnstaleerd. Deze installeert wel Quicktime, maar Safari heb ik niet gezien. Overigens heb ik hem daarna meteen weer verwijderd, er stond een oude versie van iTunes op de pc die niet wilde verwijderen. Het installeren en verwijderen van de nieuwe versie ging wel netjes. Voor zover ik kon zien was na afloop alles opgeruimd. Ook mapjes uit 'Program files' map waren weg. Menu knopjes weg, kortom: niks op aan te merken. Dat de oude versie niet wilde verwijderen ligt waarschijnlijk aan het feit dat deze erop was gezet door fabrikant van laptop. Die willen dat nogal eens op een niet geheel nette correct wijze doen ... op een zodanige wijze dat de gebruiker enigszins word ontmoedigd het programma de deïnstalleren en heel subtiel word gedwongen het programma te gebruiken |:(

[Reactie gewijzigd door Nickname55]

Door MaxxBass, zondag 1 juni 2008 13:11

Score: 0
Lees dan, Safari vraagt niet om toestemming.. en daar wordt misbruik van gemaakt. Niet alles meteen weer op MS gooien.. zo makkelijk...
Probleem is de hufters die elke feature proberen te misbruiken... !!!

Door sundace, zondag 1 juni 2008 14:38

Score: 0
probleem is dat je met een script op de website nergens op hoeft te klikken om toch te gaan downloaden.....

Door Thomson, zondag 1 juni 2008 13:15

Score: 0
Denk het niet hoor.

http://www.dhanjani.com/a...5/safari_carpet_bomb.html
1. Safari Carpet Bomb. It is possible for a rogue website to litter the user's Desktop (Windows) or Downloads directory (~/Downloads/ in OSX). This can happen because the Safari browser cannot be configured to obtain the user's permission before it downloads a resource. Safari downloads the resource without the user's consent and places it in a default location
Dat dit gecombineerd kan worden met een bug uit IE is natuurlijk wel microsofts probleem..

Door Nickname55, zondag 1 juni 2008 13:27

Score: 0
En dan te bedenken dat ze het al jaren weten... :/

Door SuperDre, zondag 1 juni 2008 15:51

Score: 0
jaren? 1 jaar pas...

Door FuzzyLogic66, zondag 1 juni 2008 14:21

Score: 0
Lees dan even goed, dit probleem doet zich ook op OSX voor. Het is zeker de fout van Safari, maar in Windows is het iets erger omdat het gecombineerd kan worden met een bug in IE.

Door Nickname55, zondag 1 juni 2008 15:13

Score: 0
Idd, dat lees ik ook. Zei ik dan dat het bij OSX niet zo was? 8)7

Door fromalk, zondag 1 juni 2008 13:07

Score: 1
ik ken de exact gebruikte termen niet maar apple heeft het level van deze bug aangegeven als 'vervelend' en niet erg gevaarlijk. Wat ofwel wilt zeggen dat ze het wat proberen te verdoezelen, oftewel dat het allemaal een storm in een glas water is.

Deze bug (excl de bug in IE dan wel) zit trouwens ook in de os x versie van safari

Door multimediacar, zondag 1 juni 2008 13:13

Score: 0
Lijkt me sterk dat deze bug iets kan veroorzaken in OSX, misschien een paar bestanden op de desktop zetten, maar die gaan nooit kunnen worden opgestart zonder je toestemming. Dus onder Windows is het veel ernstiger, en ligt een deel van het porbleem bij Microsoft zelf (zeker indien ze dit al een jaar weten).

Door Denni, zondag 1 juni 2008 21:05

Score: 0
In Mac OS X zet hij downloads in een download file. (En die gaat ook nog eens springen in het dock als er een download binnen is). Je weet dus altijd als er iets gedownload wordt maar je bureaublad wordt niet vervuild. Daarbij komt dan ook nog eens dat Mac OS X toch echt beter omgaat met vervelende software dan windows.

Door thekip, zondag 1 juni 2008 13:13

Score: 0
Ik denk dat de bug in MacOSX niet zo'n heel groot probleem is, ik denk dat het voornamelijk windows is wat hiervoor vatbaar is (vanwege de combi met IE).

Wat ik wel grappig vindt is dat Microsoft aanraad om safari niet te gebruiken, maar vervolgens niets meld over het gebruik van IE wat net zo'n groot onderdeel van het probleem vormt.

imo mogen ze best aanraden om safari niet te gebruiken maar dicht dan eerst even het lek in IE zodat je in ieder geval zelf al laat zien dat je er alles aan doet om dit op te lossen.

Door ThePiratemaster, zondag 1 juni 2008 13:18

Score: 0
dat ben ik met ze eens. als je zomaar dingen op een desktop gaat openen zonder dat je weet war het vandaan komt ben je niet erg snugger.

Door catfish, zondag 1 juni 2008 13:36

Score: 0
hoezo?
normaal gezien staan daar enkel dingen die ik daar zelf geplaatst heb
het blijft mijn pc namelijk

Door n4m3l355, zondag 1 juni 2008 13:11

Score: 0
Wij van Apple geven de optie om duizende files rechtstreeks naar je desktop te downloaden zonder verificatie omdat wij dit veilig achten. En vervolgens leggen we dit probleem bij MS.
Dit zou een natte droom zijn voor menig advertentie bedrijf, stel je voor dat jij je reclame zo bij talloze potentiele klanten op zijn bureaublad kan dumpen. Menig gebruiker zal er op klikken zeker als het bv opera.cgi.exe heet vanwege dat Windows default de extensies niet laat zien. Dit biedt zoveel kwaadwillende mogelijkheden dat het uiterst crux is om te zeggen dat het een probleem van MS is.
IE heeft bv dit probleem niet aangezien die keurig vraagt of je dit zeker wilt downloaden ..

Door SuperDre, zondag 1 juni 2008 15:54

Score: 0
Vergeet niet dat bij OS-X ook geen extentie te zien is...

Door Petervanakelyen, zondag 1 juni 2008 13:13

Score: 0
Microsoft schuift de schuld wel erg naar de Safari kant, als ze maar eens eerst beginnen met dat lek in Internet Explorer te dichten.

Volgens mij is dit een artikel waar wel wat waarheid in zit, maar waar Microsoft toch duidelijk de concurrent in een slecht daglicht probeert te stellen...

Door Andros, zondag 1 juni 2008 18:23

Score: 0
OS X wordt ook standaard geleverd met Safari en QT, logisch dat dat spul dan ook netjes bijgewerkt word, net als IE en WMP. En ken jij een Linux distro zonder browser (firefox/conqueror etc)?

Door rachid.nl, zondag 1 juni 2008 13:24

Score: 1
Het is inderdaad geen bug in Safari, maar een feature. Dat Safari niets vraagt is by design; gaat in OS X ook zo. Of dat dan handig/verstandig is... blijkbaar niet.

Los ervan; stom dat Microsoft blijkbaar informatie over lekken niet altijd erg serieus neemt. Volgens Secunia heeft MS nog wel wat te doen voor wat betreft IE7: http://secunia.com/product/12366/ (10 van 27 niet gepatcht)

Voor de volledigheid de andere browsers in Windows:
Safari 3 for Win http://secunia.com/product/17978/ (1 van 3)
Firefox 2.x http://secunia.com/product/12434/ (3 van 23)
Opera http://secunia.com/product/10615/ (0 van 13) (!)

Door n4m3l355, zondag 1 juni 2008 14:02

Score: 1
Dit zegt niets aangezien wat Apple als niet critisch beschouwt niet noodzakelijk niet critisch is wat ook boven wordt aangegeven. Tevens hoevaak wordt er niet gegrapt over een 'feature in Windows', maar bij Apple is het daadwerkelijk een feature ondanks de gevan dat het met zich meebrengt? Hoezo twee maatstaven.

Verder net zoals MS nog talloze bugs heeft die overigens bekend zijn (losstaand van die niet eens gepubliceerd zijn) heeft Apple dit net zo goed en dat de een het als critisch bestempelt, en de ander als een feature zoals Apple geeft al snel aan hoe critisch je zelf dient te kijken naar deze statistieken.

En voor de volledigheid de andere browsers in Windows, ja goed mogelijk, maar neem in gedachte dat dit de bekende bugs zijn en dat er bij iedere upgrade bij zowel OS X als bij Windows er talloze andere bugs gepatched worden. En dat maakt deze statistieken nagenoeg nietszeggend uiteindelijk.

Door webshit, zondag 1 juni 2008 14:48

Score: 1
De logische vraag dat je dan kan stellen is: "Is het wel een goede feature als het misbruikt kan worden, kan je het op dat moment dan nog een feature noemen? Zou men die feature dan niet beter wat aanpassen?"

Feature of niet, ik geloof dat zodra er misbruik mogelijk is, moet men dit aanpassen zodat er geen misbruik meer mogelijk is. Alle andere browsers passen hun features ook aan als er een veiligheid lek is, Apple is hierbij de uitzondering, maar het is dan ook algemeen geweten dat veiligheid niet prior is voor Apple, veel van hun opensource elementen in hun OSX zijn outdated en kunnen met gemak dienen om toegang te krijgen tot het systeem.

Ik ga als voorbeeld Opera nemen (omdat ik dat nu eenmaal gebruik). Op een bepaald moment was er een veiligheidslek dat men door middel van scripting de download box kon aansturen waardoor mensen 'onopgemerkt' dingen downloaden naar hun standaard download folder en zelfs executebles kon laten runnen. Oplossing voor het probleem was vrij simpel, als er geen focus op de download box is, dan kan je die niet aansturen, zodra er focus is duurt het nog x aantal (miliseconden) eer je de download box kunt aansturen. Die x is daarbij nog eens random.

Als ik me trouwens niet vergis hadden andere browsers ook last van die bug en hebben ze dit zowel bij IE en Firefox een gelijkaardige oplossing toegepast.

Door rachid.nl, zondag 1 juni 2008 18:05

Score: 0
Dus dan is het een potentieel gevaarlijke feature. Dat lijkt me ook. Zelfs al was het IE-lek er niet, dan nog was er een te grote kans dat mensen erop gaan dubbelklikken omdat ze niet weten waar het vandaan komt (je kan immers niet weten dat Safari het op je desktop heeft geplaatst als een script die bestanden stiekem heeft gedownload).

Overigens stel je nu dat alleen bugs tot kritische veiligheidsproblemen zouden kunnen leiden, maar dat heb ik nooit beweerd. Apple bewijst nu dat features (dus dingen die by design in de software zitten) ook voor kritische veiligheidslekken kunnen zorgen.

Secunia meet dan ook veiligheidslekken, niet zozeer bugs, ook al is het vaker wel dan niet zo dat bugs ten grondslag liggen aan veiligheidsproblemen.

Door Daimanta, zondag 1 juni 2008 14:07

Score: 0
"Het is inderdaad geen bug in Safari, maar een feature. Dat Safari niets vraagt is by design; gaat in OS X ook zo. Of dat dan handig/verstandig is... blijkbaar niet."

"It's not a bug, it's a feature!" is een van de slechtste smoezen die er bestaan. Het feit dat ActiveX je computer laat overnemen door een vreemde host is geen zwakte, maar dat is juist handig. Of is het toch zo dat ActiveX een van de grootste bedreigingen is voor je pc?

Door rachid.nl, zondag 1 juni 2008 18:00

Score: 0
Dat maakt dat onderdeel van ActiveX dan een waardeloze of slecht uitgedachte feature. Toch is het nog steeds geen bug, want het is bewust zo ontworpen.