Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 187 reacties

Microsoft waarschuwt dat door een bug in Apple's Safari-browser de desktop bezaaid kan raken met besmette executables. Door de Safari-bug te combineren met een nog niet gedicht lek in IE kan malware ook ge´nstalleerd worden.

Safari en IE logo'sDe bug in Safari werd op 15 mei gepubliceerd door veiligheidsonderzoeker Nitesh Dhanjani. Een kwaadwillende kan het bureaublad van een slachtoffer middels een 'carpet bombing'-aanval geheel vullen met opstartbare malware-bestanden. Dit is mogelijk omdat Safari nooit middels een dialoogvenster om toestemming vraagt voordat de browser begint met het downloaden van bestanden. Met een eenvoudig script kan de standaard downloadlocatie van Safari, in de Windows-versie vrijwel altijd de desktop, worden vervuild. Apple's veiligheidsteam liet echter weten dat het door Dhanjani geschetste probleem niet als een acuut veiligheidslek wordt beschouwd en dat het vermoedelijk nog wel even zal duren voordat een toekomstige versie van Safari de gebruiker bij een downloadactie eerst om toestemming zal vragen.

Collega-onderzoeker Aviv Raff heeft echter ontdekt dat de bug in Safari misbruikt kan worden in combinatie met een bekend maar nog niet gedicht lek in Internet Explorer. Hierdoor kan ongemerkt kwaadaardige code op de pc van een gebruiker worden ge´nstalleerd. Microsoft onderkent het probleem en heeft een security advisory uitgegeven waarin gebruikers wordt aangeraden om Safari voorlopig niet te gebruiken, totdat Apple zijn browser van een veiligheidsupdate voorziet. Ook belooft de softwaregigant met een patch voor Internet Explorer te komen, maar onduidelijk is nog wanneer en in welke vorm. Raff stelt echter dat hij Microsoft al een jaar geleden op het lek in zowel Internet Explorer 6 als 7 heeft gewezen, maar dat het softwarebedrijf nu pas actie lijkt te gaan ondernemen.

Moderatie-faq Wijzig weergave

Reacties (187)

Het is inderdaad geen bug in Safari, maar een feature. Dat Safari niets vraagt is by design; gaat in OS X ook zo. Of dat dan handig/verstandig is... blijkbaar niet.

Los ervan; stom dat Microsoft blijkbaar informatie over lekken niet altijd erg serieus neemt. Volgens Secunia heeft MS nog wel wat te doen voor wat betreft IE7: http://secunia.com/product/12366/ (10 van 27 niet gepatcht)

Voor de volledigheid de andere browsers in Windows:
Safari 3 for Win http://secunia.com/product/17978/ (1 van 3)
Firefox 2.x http://secunia.com/product/12434/ (3 van 23)
Opera http://secunia.com/product/10615/ (0 van 13) (!)
Dit zegt niets aangezien wat Apple als niet critisch beschouwt niet noodzakelijk niet critisch is wat ook boven wordt aangegeven. Tevens hoevaak wordt er niet gegrapt over een 'feature in Windows', maar bij Apple is het daadwerkelijk een feature ondanks de gevan dat het met zich meebrengt? Hoezo twee maatstaven.

Verder net zoals MS nog talloze bugs heeft die overigens bekend zijn (losstaand van die niet eens gepubliceerd zijn) heeft Apple dit net zo goed en dat de een het als critisch bestempelt, en de ander als een feature zoals Apple geeft al snel aan hoe critisch je zelf dient te kijken naar deze statistieken.

En voor de volledigheid de andere browsers in Windows, ja goed mogelijk, maar neem in gedachte dat dit de bekende bugs zijn en dat er bij iedere upgrade bij zowel OS X als bij Windows er talloze andere bugs gepatched worden. En dat maakt deze statistieken nagenoeg nietszeggend uiteindelijk.
De logische vraag dat je dan kan stellen is: "Is het wel een goede feature als het misbruikt kan worden, kan je het op dat moment dan nog een feature noemen? Zou men die feature dan niet beter wat aanpassen?"

Feature of niet, ik geloof dat zodra er misbruik mogelijk is, moet men dit aanpassen zodat er geen misbruik meer mogelijk is. Alle andere browsers passen hun features ook aan als er een veiligheid lek is, Apple is hierbij de uitzondering, maar het is dan ook algemeen geweten dat veiligheid niet prior is voor Apple, veel van hun opensource elementen in hun OSX zijn outdated en kunnen met gemak dienen om toegang te krijgen tot het systeem.

Ik ga als voorbeeld Opera nemen (omdat ik dat nu eenmaal gebruik). Op een bepaald moment was er een veiligheidslek dat men door middel van scripting de download box kon aansturen waardoor mensen 'onopgemerkt' dingen downloaden naar hun standaard download folder en zelfs executebles kon laten runnen. Oplossing voor het probleem was vrij simpel, als er geen focus op de download box is, dan kan je die niet aansturen, zodra er focus is duurt het nog x aantal (miliseconden) eer je de download box kunt aansturen. Die x is daarbij nog eens random.

Als ik me trouwens niet vergis hadden andere browsers ook last van die bug en hebben ze dit zowel bij IE en Firefox een gelijkaardige oplossing toegepast.
Dus dan is het een potentieel gevaarlijke feature. Dat lijkt me ook. Zelfs al was het IE-lek er niet, dan nog was er een te grote kans dat mensen erop gaan dubbelklikken omdat ze niet weten waar het vandaan komt (je kan immers niet weten dat Safari het op je desktop heeft geplaatst als een script die bestanden stiekem heeft gedownload).

Overigens stel je nu dat alleen bugs tot kritische veiligheidsproblemen zouden kunnen leiden, maar dat heb ik nooit beweerd. Apple bewijst nu dat features (dus dingen die by design in de software zitten) ook voor kritische veiligheidslekken kunnen zorgen.

Secunia meet dan ook veiligheidslekken, niet zozeer bugs, ook al is het vaker wel dan niet zo dat bugs ten grondslag liggen aan veiligheidsproblemen.
"blijkbaar niet"
Duidelijk niet. Maar anders zet ik morgen je desktop even vol met programma's, om 't uur of zo. Is tenslotte alleen maar 'lastig' en je kan ze zo weer verwijderen, toch?

10 van de 27 niet gepatcht. OH NOES.
Even het lijstje langs.
1. "Internet Explorer "Print Table of Links" Cross-Zone Scripting"
Pagina moet de gebruiker zo ver krijgen om de pagina te printen en dan ook nog eens "print table of links" (standaard uit) aan te zetten. Niet onmogelijk, maar de kansen zijn toch aardig gering.

2. "Internet Explorer "DisableCachingOfSSLPages" Weakness"
Een ge-encrypte pagina wordt lokaal opgeslagen. Kan je, tenzij iemand je al toegang hebt tot de machine van de gebruiker, niets aan. En als je al wel toegang hebt, dan heeft die gebruiker wel grotere problemen.

3. "Internet Explorer HTTP Request Smuggling/Splitting Vulnerabilities"
Kan een aanvaller op hetzelfde domein als een vertrouwde source je cookie (bijvoorbeeld) van die vertrouwde source inlezen door een bestaande socket te hergebruiken. Wel moet die aanvaller dan ook op de vertrouwde source al de bron hebben aangepast. Als in je cookie je gebruikersnaam/wachtwoord staat is dat lastig. Bad cookie.

4. "Microsoft Internet Explorer FTP Credentials Exposure"
Als je een FTP pagina opslaat kan je gebruikersnaam/wachtwoord erin staan. Als je deze dan deelt met iemand anders... etc.

5. "Microsoft Internet Explorer 7 HTTP Basic Authentication IDN Spoofing"
Als je op een site komt waar bijvoorbeeld een plaatje staat die achter een HTTP auth zit, dan krijg je een standaard login box. Is al verdacht, maar goed; vervolgens staat in de titelbalk de domeinnaam van origine. ALS de aanvaller dan dezelfde hostnaam als van de site waarop je zit te browsen visueel weet te spoofen, bijvoorbeeld door een cyrillisch alfabet, dan kan jij niet 1-2-3 zien dat het niet dezelfde site is.
Lekker toch, die internationale domeinnamen? :)

6. "Internet Explorer Page Loading Race Condition and URL Spoofing"
Door een tricky zootje javascript kan je ervoor zorgen dat Site A lees/uitvoer (script) rechten heeft op Site B. Alleen heeft ie dan geen lees/uitvoer rechten meer op Site A. Dus Site A kan de tekst van Site B inlezen maar kan er verder niets meer mee.
En de adres balk kan worden gespoofed - dat vind ik zelf altijd wat minder leuk.

7. "Internet Explorer Charset Inheritance Cross-Site Scripting Vulnerability"
De gebruikelijke CSS (niet de style sheet) boel. Stel je maakt een lokale pagina met heel veel rechten (custom level) en je zet daarin een iframe die een pagina op het internet uitleest en deze pagina wordt gecomprimeerd, dan kan die iframe dezelfde rechten behalen als de hoofdpagina. Niet doen, dus.

8. "Multiple Browsers Window Injection Vulnerability Test"
In het kort... als Site A een nieuw venster opent en dit nieuwe venster de 'naam' "TEST" geeft, dan kan Site B een nieuwe pagina in de venster met naam "TEST" openen, en de browser zorgt er automatisch voor dat dit dan in het al bestaande venster komt.
De bedoeling is dat dit alleen van dezelfde site zou kunnen, natuurlijk, bijvoorbeeld zo'n oude foto browser (tegenwoordig dmv DHTML of Flash gedaan).

9. "Internet Explorer 7 Window Injection Vulnerability"
Idem dito.

10. "Internet Explorer 7 Popup Address Bar Spoofing Test"
als je maar genoeg rare karakters in een url stopt, dan www.site die je wil spoofen.com, dan nog wat karakters, dan lijkt het alsof er in de adresbalk alleen "www.site die je wil spoofen.com". De titelbalk blijft welk correct; lullig is dat deze test -zonder- adresbalk opent bij mij (zowel IE als FF). Altijd de titlebar controleren dus, ongeacht browser, want soms staat die hele adresbalk er niet.

11. "Internet Explorer File Upload Form Keystroke Event Cancel Vulnerability"
Stel jij weet dat een bepaald bestand -ergens- op de schijf van je slachtoffer staat. Dan kan je met een javascript ervoor zorgen dat dat bestand naar jou toe kan worden geupload. Moet je alleen wel zorgen dat je een FORM hebt waar de gebruiker een lap tekst in gaat tikken die -alle- karakters, in volgorde, van het volledige pad naar dat bestand bevat.
Bijvoorbeeld "c:\temp\temp.txt", dan moet je de gebruiker zo gek krijgen om bijvoorbeeld "Cicero: \ ehhh..", nee laat maar... ik kan zo geen lap tekst bedenken waar een backslash van nature in voor komt.

Op een of andere manier kom ik aan 11, niet 10, maar goed.
AL deze vulnerabilities zijn niet als "kritiek" bestempeld. De ergste is de "
Internet Explorer 7 Window Injection Vulnerability" met "enigszins kritiek". Weer een reden minder voor websites om een apart venster te openen, laat staan met een -bekende- naam (je hebt 'random' niet voor de lol gekregen, tenslotte).

Dat gezegd hebbende - natuurlijk moeten ze ook alle bovenstaande patchen. Maar "10 van de 27 niet gepatcht" doet vaak het ergste vermoeden, terwijl dat best mee valt.

( Ik gebruik al jaren FF, dus mij boeit het niet zo veel; al waren er verscheidene in de bovenstaande die ook op FF van toepassing waren; maar al wel gepatched* \o/ )

Edit: date > dat.

Edit 2: * Whoops. Toch niet. "Firefox Charset Inheritance Cross-Site Scripting Security Issue" is equivalent van #7 bovenstaand. Foei Mozilla. Maar zoals al gezegd... pagina's geen rare rechten geven, en geen externe pagina's in je intranet zetten zonder een goed intranet beheer.

Edit 3: 11 doordat #8 en #9 eigenlijk hetzelfde zijn, maar in de per-jaar overzichten apart zijn opgegeven. Verklaart de 'idem dito' samenvatting ook weer %)

[Reactie gewijzigd door ZeBoxxToo op 1 juni 2008 15:29]

Het is inderdaad geen bug in Safari, maar een feature.
Sorry hoor, maar een browser die ongevraagd bestanden download zou geen bug zijn maar een feature? En dat in 2008? Kom op joh, we hebben de afgelopen 10 jaar toch genoeg geleerd over virussen om te weten dat dit soort "features" gewoonweg te dom voor woorden zijn!

stom dat Microsoft blijkbaar informatie over lekken niet altijd erg serieus neemt.
Tja, Microsoft heeft ook de neiging om alle bugs eerst maar als "feature" te bestempelen...
Jij begrijpt mijn standpunt niet. Je doet namelijk alsof ik het gedrag van Safari goedpraat, maar dat is niet zo. Het is echter heus geen bug dat er geen downloadvenster verschijnt; het bestaat gewoon niet. Apple heeft er bewust voor gekozen om het zo aan te pakken, en daarom is het dus een feature, en geen bug. Dat het ongewenst zou kunnen zijn, is een andere discussie.
"Het is inderdaad geen bug in Safari, maar een feature. Dat Safari niets vraagt is by design; gaat in OS X ook zo. Of dat dan handig/verstandig is... blijkbaar niet."

"It's not a bug, it's a feature!" is een van de slechtste smoezen die er bestaan. Het feit dat ActiveX je computer laat overnemen door een vreemde host is geen zwakte, maar dat is juist handig. Of is het toch zo dat ActiveX een van de grootste bedreigingen is voor je pc?
Dat maakt dat onderdeel van ActiveX dan een waardeloze of slecht uitgedachte feature. Toch is het nog steeds geen bug, want het is bewust zo ontworpen.
Tja, volgens jouw redenatie is de bug in IE dan ook een feature...
Nee, het probleem in IE is een bug omdat het een fout is in de software die er niet in had moeten zitten en die dus niet intentioneel in de software zit. Het ontbreken van een downloadvenster in Safari is echter geen fout in de software; Apple heeft er bewust voor gekozen om geen downloadvenster te gebruiken. Daarom is dat geen bug.
Als je iets download in OS X met Safari dan download het als eerst het bestand. Dan als je het bestand wilt openen zegt OS X (niet safari):

“[application name]” is an application which was downloaded from the Internet. Are you sure you want to open it?

“[application name” is on the disk image “[image name].dmg”. Safari downloaded this disk image today at 2:12 PM from [web page address].

En dan heb je de volgende opties: Show Web Page, Cancel of Open.

Dit zegt OS X totdat je "Open" hebt gekozen.

Apple gaat er van uit in zijn design dat het OS moet nagaan waar het bestand vandaan komt en of het veilig is om het te openen. Want je opent iets in de verkenner van het OS en niet vanuit de browser. Vervolgens gaan ze er ook vanuit dat wat je aan klikt om te downloaden dat je dat ook wilt downloaden. XP of Vista stellen deze vragen niet als OS maar internet explorer doet dat. Safari in windows stelt deze vraag dus niet vanwege het design van Safari en het OS ook niet.

Dus Apple heeft er voor gekozen dat de verantwoordelijkheid van welke file je opent bij het OS ligt. En Microsoft heeft ervoor gekozen dat het bij de browser ligt. Ik vind voor allebei wat te zeggen.

Ik vind dat het, de browsers verantwoordelijkheid is dat de gebruiker zijn gewenste spul download. Maar ik vind ook dat het de verantwoordelijkheid is van het OS om na te gaan waar het spul vandaan komt en dan de gebruiker kan vragen of hij zeker weet dat hij dit programma wilt openen omdat het van een bepaalde bron komt.
Vista vraagt wel of je bestanden wil openen die van internet komen... Win2003 doet dat ook en XP sinds SP2. Zogauw iets van internet komt (maakt niet uit of je het daarna van schuif verhuist), krijgt hij een tag dat het van internet afkomstig is.

Het OS vraagt dan bij aanklikken of je zeker weet dat je het wil starten omdat het niet direct als veilig wordt geacht. Dat zijn de default waarden.

Dat de meeste mensen instellen dat alles op hun HD als veilig moet worden gezien is dan weer een usererror.

Overigens wil ik dan weer niet dat een OS telkens gaat vragen of een bestand geopend mag worden omdat hij vind dat het niet veilig genoeg is. De irritante popups ook..
Wist niet eens dat Apple ook zo'n soort UAC had.. lijkt me niet echt lekker werken
Maar deze vlag word dan weer enkel door IE gebruikt. Bestanden gedownload met firefox krijgen deze waarschuwing niet.
Alleen denk ik dat veel mensen bestanden die met firefox zijn gedownload zijn openen vanuit de firefox download manager, waarbij je standaard wel zo'n waarschuwing krijgt voor executeables.
ik ken de exact gebruikte termen niet maar apple heeft het level van deze bug aangegeven als 'vervelend' en niet erg gevaarlijk. Wat ofwel wilt zeggen dat ze het wat proberen te verdoezelen, oftewel dat het allemaal een storm in een glas water is.

Deze bug (excl de bug in IE dan wel) zit trouwens ook in de os x versie van safari
Lijkt me sterk dat deze bug iets kan veroorzaken in OSX, misschien een paar bestanden op de desktop zetten, maar die gaan nooit kunnen worden opgestart zonder je toestemming. Dus onder Windows is het veel ernstiger, en ligt een deel van het porbleem bij Microsoft zelf (zeker indien ze dit al een jaar weten).
In Mac OS X zet hij downloads in een download file. (En die gaat ook nog eens springen in het dock als er een download binnen is). Je weet dus altijd als er iets gedownload wordt maar je bureaublad wordt niet vervuild. Daarbij komt dan ook nog eens dat Mac OS X toch echt beter omgaat met vervelende software dan windows.
dat ben ik met ze eens. als je zomaar dingen op een desktop gaat openen zonder dat je weet war het vandaan komt ben je niet erg snugger.
hoezo?
normaal gezien staan daar enkel dingen die ik daar zelf geplaatst heb
het blijft mijn pc namelijk
Ik denk dat de bug in MacOSX niet zo'n heel groot probleem is, ik denk dat het voornamelijk windows is wat hiervoor vatbaar is (vanwege de combi met IE).

Wat ik wel grappig vindt is dat Microsoft aanraad om safari niet te gebruiken, maar vervolgens niets meld over het gebruik van IE wat net zo'n groot onderdeel van het probleem vormt.

imo mogen ze best aanraden om safari niet te gebruiken maar dicht dan eerst even het lek in IE zodat je in ieder geval zelf al laat zien dat je er alles aan doet om dit op te lossen.
Enig idee welke bug er gebruikt is aan de IE side?

Ik zou best wel eens een testje willen doen (allemaal virtueel natuurlijk) om enkele personen aan te tonen dat het toch niet zo slim is om IE te gebruiken (en safari in dit geval).

Edit: natuurlijk als je bashed op MS of Apple dan is er geen probleem, maar als je een vraag rond het onderwerp stelt, dan wordt dan aanzien als ongewenst???

[Reactie gewijzigd door IStealYourGun op 1 juni 2008 15:36]

Lees die site van Aviv maar eens. Hij doelt waarschijnlijk op de "print links" bug. Deze bug, in het kort gezegd, stelt iemand in staat om een programma te draaien op de computer van de gebruiker door een malafide link in een pagina te stoppen. Vervolgens moet deze de gebruiker zo gek krijgen de pagina te printen (javascript print() werkt, maar je krijgt toch dat print dialoogvenster) -en- "print links" aan te vinken (staat normaliter uit).

Het belangrijke er van is dat je moet weten waar het bestand dat je uit wil voeren staat. Gebruikelijk weet je dat niet, maar met de Safari drive-by downloads die naar je Desktop gaan, weet je dat dus wel: het bestand staat op de desktop met de gegeven naam. Uitvoeren maar.

Die print links vuln is natuurlijk bijzonder erg en moet gefixed worden. Maar alle mensen hierboven die Apple vrijpleiten zijn in het fanboyisme het zicht kwijtgeraakt. Statements als "op OS X kan je niet zomaar een bestand uitvoeren vanaf desktop" doen niets af aan het feit dat je desktop vol met programma's komt te staan ("ach, dat is alleen maar lastig") of het feit dat het programma iets heel normaals genoemd kan worden ("My Photos"), en de minder computer-georienteerde persoon deze aanklikt en vervolgens tegen OS X zegt dat 't wel goed zit; het zijn tenslotte alleen maar hun foto's.
Ten eerste heten je foto's op de Mac niet 'My Photos', dus dat zal opvallen :)
Ten tweede is de waarschuwing die je krijgt op het moment dat je die applicatie voor de eerste keer opent dat het een applicatie is. Dat klinkt niet als een mapje met 'mijn foto's'...

Dat je niet op een PC meestal niet weet waar een bestand staat is denk ik niet waar. Meestal zullen gebruikers hier standaard namen bedenken zoals 'Downloads' of 'My Photos' :P
En als het niet lukt bij 95%, ach, dan heb je die 5% toch?
Dat dit kan komen is voor mijn gevoel nog niet zo erg, maar het meest vervelende is nog wel dat iTunes Safari keurig mee installeerd heden ten dagen wat juist extra bijdraagt aan het verspreiden van viri. En om dan als producent van een browser dit probleem te negeren, is toch wel erg imo...
--edit--
zie draadje over het mee-installeren

[Reactie gewijzigd door n4m3l355 op 1 juni 2008 13:12]

Voor zover ik weet is dat een optie in de installatie die standaard uit staat? :?
Nee, hij staat standaard aangevinkt, maar je kunt hem wel eruit halen en ook aanduiden dat hij dit in de toekomst niet meer mag meenemen in de updatecyclus.
Blijft wel smerig dat 'ie standaard aan staat, zo heb ik Safari per ongeluk eens ge´nstalleerd. Ze mogen van mij best een pop-upje tonen bij de update van iTunes, maar als ik iTunes download is het nogal duidelijk dat ik op dat moment niet naar een browser op zoek ben niet?

Dit even geheel terzijde. Meer ontopic: Wel grappig. Dit is in feite een mogelijke exploit dankzij de combinatie van een nalatigheid in Safari en een bug in IE. Best of both worlds :+
Het geen wat ik zo ontzettend irritant vind waardoor ik alle software van Apple nu ook maar links laat liggen is dat wanner ik Quicktime (dit heb ik ook alleen maar omdat je bepaalde bestanden alleen met Quicktime kan afspelen) wil installeren of updated moet ik ook Itunes installeren... ik wil dit stukje software niet eens op mijn PC hebben omdat het troep is.

Ik ben van mening dat Apple ectht de verkeerde kant op gaat met het verplicht stellen en automatisch aanvinken van software dat met een aplicatie mee wordt geinstalleerd.
Dat is een kwestie van de alternatieve versie installeren. :/
Soms kan je op een link duwen die er niet uitziet als een downloadlink, maar het wel is. Ook op een Mac. Dat je dan geen virus downloadt (omdat er zogezegd geen zijn), wil nog niet zeggen dat je zo geen ongewenste bestanden kan binnenhalen. En sommigen moeten heel hard letten op hun downloadverbruik, dus zo kunnen wel leuke grapjes uitgehaald worden. Dat is toch gewoon logisch dat je een notificatie krijgt als je iets aan het downloaden bent.

(of wil een Apple-gebruiker niet weten wat zijn pc doet dan?)
Tuurlijk wil je dat weten, maar als je iets download op je mac komt dat in een downloadfolder terecht en die download folder maakt een sprongetje in je dock als je iets download dus je bent echt wel op de hoogte van wat er gebeurt. Je hoeft echt niet te worden doodgeslagen met pop ups om te weten wat er met je computer gebeurt.
Mac opent bestanden (iig vanaf Leopard) gewoon niet automatisch en als het van internet komt en nog niet eerder geopend is, krijg je de vraag of je het zeker weet, itt Vista waar alles continu via popupschermpjes je constant irriteert (ik gebruik geregeld zowel Vista en XP als Mac OS, dus kan het redelijk objectief vergelijken)
Je kunt op een website ook zonder dat je ergens op klikt een bestand laten downloaden. Safari zou dan meteen beginnen. Als ik dus op mijn website een link zet naar een aantal van die 1GB testfiles om je internetverbindingssnelheid te checken heb jij ze meteen binnen :)
Op Mac heb je gewoon geen virussen dus heb je ook geen waarschuwingen nodig
Das echt zever. Ook OS X heeft bugs, sommige kunnen misbruikt worden. Er zijn reeds proof-of-concepts. Het is slechts een kwestie van tijd voordat iemand ook effectief een kwaadaardig virus zal schrijven en dan staan alle Apple users daar met hun onveilig systeem 'omdat er toch niets kan gebeuren'.
een kwestie van tijd? Die tijd duurt dan toch al heel lang.
Het is gewoon idioot te stellen er ooit wel een dag komt want dat wordt al zolang voorspeld en het lukt niemand dan ook maar om een werkbaar virus rond te sturen. Virussen werken enkel bij systemen zoals windows die zo dominant aanwezig zijn dat ze gewoon zeer vatbaar zijn voor besmetting. Het is wel zo dat moest Windows minder dominant marktaandeel hebben het ook minder vatbaar zou zijn voor virussen. Marktaandeel speelt zeker een rol maar Macs zullen nooit zo'n dominant marktaandeel innemen dus hou je waarschuwingen voor windowsgebruikers. Macs kunnen gewoon zeer moeilijk besmet worden, los van het feit of OSX veiliger is of niet.
Er worden virussen voor de raarste en kleinste markten geschreven, zoals bijvoorbeeld omgebouwde PSP's met verouderde firmware. Ik denk dat je punt totaal nergens op slaat.
Tja dat zeggen de bashers al jaaaaren(sinds Mac OS 10.0, 2000). Al 8 jaar dus in het totaal. Denk je niet dat Mac OS X voor virusschrijvers een uitdaging is? Ze weten best dat ze dan op de voorpagina van de krant komen. En al acht jaar is het niemand gelukt om een virus voor Mac OS X te maken.
Dat OS X bugs heeft wil niet zeggen dat virussen mogelijk zijn. OS X zorgt ervoor dat virussen zich niet automatisch kunnen verspreiden. Daarom zijn het geen virussen meer maar hoogstens trojaanse paarden.

En als er een systeem altijd al onveilig is geweest is het Windows. Dus zelfs als er een virus uitbreekt zal Mac OS X een stuk veiliger zijn.

Tevens is dit probleem simpel op te lossen door bijvoorbeeld een limiet van 1 download per file te maken, en anders wordt er een melding gegeven.

[Reactie gewijzigd door Denni op 1 juni 2008 18:26]

virusje voor os x maken is echt extreem simpel hoor. t verspreiden van een virusje is echter wat moeilijker omdat je langer moet zoeken voor een os x machine in vergelijking met windows bakken...
Elk stuk software bevat veiligheidslekken en is dus ook 'onveilig'.
Het is dan ook heel logisch dat het voor een veelgebruikt OS interessanter is om virussen te schijven.
Het gaat er meer om dat de personen die een virus schrijven de grootste groep willen raken en dit is nog altijd de windows gebruikers groep, dus waarom de moeite doen om OS X te besmetten als windows makkelijker is en je er een grotere groep mee raakt.
Nee, Safari wordt werd mee ge´nstalleerd met een iTunes update, je moet het excpliciet uitschakelen als je 't niet wil installeren; dat is net het punt.

[Reactie gewijzigd door rulus op 1 juni 2008 13:30]

Afgelopen week nog een popup gehad van iTunes update, de "update" was zelfs alleen Safari, niet eens een nieuw iTunes versie (of Quicktime dat ook elke keer door de strot geduwd wordt door Apple, maar geloof ik helaas noodzakelijk is voor iTunes).

Ik erger me elk keer kapot over het aanbieden van Safari, ik ben een teveden FireFox gebruiker. Telkens maar weer uitvinken, helaas geen optie om te zeggen dat ik dit soort updates niet wil zien. Misschien moet ik de update functie van iTunes helemaal uitzetten, want de afgelopen updates waren ook alleen maar voor meuk zoals Apple TV en iPhone ondersteuning waar ik ook niets aan heb.

Hoe dan ook, Apple heeft deze bedenkelijke werkwijze nog geenszins veranderd.
In de MacOS X software update kun je updates ignoren door te selecteren en te backspacen. Probeer dat eens?
dan nog.. ik ga echt geen safari gebruiken.. ookal zit het bij Quicktime of iets van apple ingebakken of gebundeld..
Het is toch wel Microsoft die zulke smerige "trucjes" doet hoor. Bijvoorbeeld express bugs maken bij de ondersteuning van Quicktime, omdat Microsoft als enigste video playback wilt hebben.

""Microsoft Sabotages QuickTime on Windows
While Microsoft was pressing Apple to withdraw from the media playback market, "Microsoft took several steps to sabotage QuickTime," reported Tevanian in his monopoly trial testimony.""

http://www.roughlydrafted...9A-9515-531B0CA0C29C.html
Wat ik nu wel smerig vind van Microsoft is deze uitspraak wat precies jouw punt zegt:
Microsoft onderkent het probleem en heeft een security advisory uitgegeven waarin gebruikers wordt aangeraden om Safari voorlopig niet te gebruiken, totdat Apple zijn browser van een veiligheidsupdate voorziet. Ook belooft de softwaregigant met een patch voor Internet Explorer te komen, maar onduidelijk is nog wanneer en in welke vorm.
Lekker makkelijk om nog ff geen patch uit te brengen voor IE6/7, zodat je kunt zeggen dat je je concurrent zijn browser niet moet gebruiken, omdat ze nog geen patch hebben ter beveiliging van Windows :Y)
Zelfde als je zegt "je moet geen auto kopen bij de Jappie garage, want door een fout in hun auto's wordt door middel onze gigantische fout (wie we al ruim een jaar kennen) in onze motors wie zij gebruiken, kapot en ontploft je auto (beetje overdrijven toch ;)...) " 8)7

[Reactie gewijzigd door Bliksem B op 1 juni 2008 22:49]

Ik had dat vroeger ook, kreeg ik zomaar ongevraagd een browser (IE) en een "vervanger" voor opengl in het os wat ik destijds gebruikte, jammer dat de EU/DOJ daar niets tegen heeft gedaan :S

Vergeet ook niet dat de MS mentaliteit bedrijven het gevoel geeft dat ze meer kunnen flikken bij consumenten.

Als je bovendien naar de issues kijkt dan zie je dat het een probleem is dat voornamelijk bij het platform ligt waarop safari draait, maw, de noodzakelijke voorwaarde voor dit probleem is een windows install met een brakke IE erop...niet echt iets wat je apple kan verwijten.
Ik had dat vroeger ook, kreeg ik zomaar ongevraagd een browser (IE) en een "vervanger" voor opengl in het os wat ik destijds gebruikte, jammer dat de EU/DOJ daar niets tegen heeft gedaan :S
IE is een essentieel onderdeel van windows. Of wou je nu ook gaan klagen dat ze standaard Konqueror met KDE meegeven terwijl jij liever firefox gebruikt? 8)7 .
Over directx vs opengl: daarvoor moet je bij je gameproducenten klagen. Professionele toepassingen ondersteunen voor zover ik weet zo goed als allemaal opengl.
Nice try. Vreemd genoeg heb ik niks over MS gezegd. Dus waarom ik een MS fanboy zou zijn is mij een raadsel. Kritiek hebben op Apple is mogelijk zonder daardoor meteen een MS fanboy te zijn. Ook een keer iets niet negatiefs van elkaar nalullen over MS maakt je niet tot een MS fanboy. Echte fanboys heeft MS amper. Bovendien, mijn kritiek is niet eens gericht op Apple maar op de schapen die het achter zich weet te scharen. Of ga je beweren dat Apple fanboys niet de grootste zealots zijn die er zijn? En Linux, hoe past dat in dit verhaal? Heb ik ook niet in de mond genomen.

*k7of9 is overigens tevreden Ubuntu, Firefox, Thunderbird, Oo, Banshee, Inkscape, xbmc, e.v.a. gebruiker. Misschien plaatst dat eea in perspectief voor je.

[Reactie gewijzigd door k7of9 op 2 juni 2008 00:32]

Het vullen van het bureaublad met executables is imho alleen maar heel lastig. Maar dat er een bug in IE zit (al een jaar blijkbaar) en dat er niks aan gedaan is lijkt me veel storender... Het is dan natuurlijk wel heel erg simpel om als MS naar die andere fabrikant te wijzen, maar zelf eerst je spullen fixen lijkt me toch echt wel de juiste gang van zaken.

Dat neemt overigens niet weg dat het nogal een slechte zaak is dat Apple niet bereid is dit als een security-lek te kwalificeren....
technisch gezien kan een kwaadwillige dus bv kinderporno op jouw pc plaatsen (hoeft niet per se een virus te zijn) en op dat moment ben je strafbaar
(tenzij jij kan bewijzen dat je het daar zelf niet gezet hebt, veel succes)
technisch gezien uit mijn ogen... ben jij diegene die die de downloadlink aanklikt en download safari alleen maar automatisch, wat bij een mac heel fijn werkt (met de 'dit is een bestand van internet' melding). Goed, zo zou je ook kunnen zeggen dat firefox hetzelfde lek heeft omdat deze automatisch bepaalde bestandstypen kan downloaden of uitvoeren. of zie ik dit nou verkeerd?
volgens mij is het gewoon een hoop heisa en moddergooien.

en dat vinkje: tja, kijk en lees gewoon wat je doet en het is geen probleem. Mensen moeten gewoon niet te snel op next drukken en alles aanvinken!
Zowel in Internet Exporer, Firefox en Opera krijgt ik netjes een popup of ik het bestand wil opslaan of wil openen. In Safari (onder windows) krijg ik deze melding niet. Onder OSX krijg je WEL een melding dat je een bestand vanaf internet wilt opslaan. Onder Windows krijg je deze melding dus niet.

Daarbij hoef je niet op een download link te klikken. Via javascript kan ik de src van een image wijzigen naar een bijv executable en Safari download hem automatisch naar de desktop. Ik kan het zelfs in een flash banner plaatsen en deze bijvoorbeeld doubleclick verspreiden.

Ik blijf het dus kort door de bocht vinden dat Apple nu zegt: "Dit is ons probleem niet". Feit is dat als jij Safari niet gebruikt je desktop niet wordt bezaaid met malware. Ik vind het dan ook volstrekt logisch dat Microsoft Safari nu als een beveiligings risico zeerzet.

Wij hebben inmiddels hier al de group policy aangepast zodat Safari hier niet meer gebruikt kan worden.
Aan de andere kant kan dit ook weer een verdediging worden: 'Ja, maar er zit een bekend probleem in Safari, waardoor ik bestanden kan binnenhalen zonder dat ik het weet'. Voor de kinderporno-downloaders dus een tip: installeer Safari en ontduik vervolging! :+
Volgens mij vullen beide fouten elkaar gewoon aan en is de ÚÚn niet storender dan de andere, het heeft in deze geen zin om naar de ene of de ander partij te wijzen, ze moeten het gewoon allebei oplossen.
Het vullen van het bureaublad met executables is imho alleen maar heel lastig.
Het is meer dan lastig: de gemiddelde gebruiker heeft geen idee wat die icoontjes betekenen en gaat die executables dus opstarten. In het beste geval zit er 1 progje bij dat de harde schijf wist, in het slechtste geval worden al zijn persoonlijke gegevens incusief creditcard- en bankgegevens doorgestuurd naar een of andere website.

Je met een hamer op je vingers slaan is lastig, zeker als je regelmatig wil posten op T.net. Een buroblad vol met voor de eigenaar onbekende icoontjes waar programma's achter blijken te zitten kan ronduit rampzalig zijn!
Tsja, misschien een sandbox gebruiken, dan moet je elke file expliciet toestemming geven om zich Řberhaupt te mogen opslaan waar dan ook in het systeem, zelfs de downloads (die je zelf kiest) worden tijdelijk opgeslagen, recover je die dingen niet naar wat voor folder ook, verdwijnen ze weer als sneeuw voor de zon als je de browser en sandbox sluit. (helaas ondervonden na een XP SP3 van 300 Mb, had hem gedownload maar vergeten veilig te stellen en op het moment dat ik de browser afsloot was de file die ik zo bloedig had zitten downloaden verdwenen van mijn schijf). 8)7 Eigen schuld probleempje :X
Volgens mij niet meer. Ik heb vorige week nog op een pc van een kennis iTunes ge´nstaleerd. Deze installeert wel Quicktime, maar Safari heb ik niet gezien. Overigens heb ik hem daarna meteen weer verwijderd, er stond een oude versie van iTunes op de pc die niet wilde verwijderen. Het installeren en verwijderen van de nieuwe versie ging wel netjes. Voor zover ik kon zien was na afloop alles opgeruimd. Ook mapjes uit 'Program files' map waren weg. Menu knopjes weg, kortom: niks op aan te merken. Dat de oude versie niet wilde verwijderen ligt waarschijnlijk aan het feit dat deze erop was gezet door fabrikant van laptop. Die willen dat nogal eens op een niet geheel nette correct wijze doen ... op een zodanige wijze dat de gebruiker enigszins word ontmoedigd het programma de de´nstalleren en heel subtiel word gedwongen het programma te gebruiken |:(

[Reactie gewijzigd door Nickname55 op 1 juni 2008 13:19]

Omdat Safari automatisch mee geinstalleerd wordt (wat ik sterk betwijfel eigenlijk), betekent het nog niet dat Safari meer gebruikt wordt.


Heb het nu even getest, Safari zit helemaal niet in iTunes. En in de update als je daar zou naar verwijzen staat het standaard UIT.

[Reactie gewijzigd door multimediacar op 1 juni 2008 13:11]

nu wel ja, onlangs was het wel zo
door de vele kritiek heeft Apple het er weer uit gehaald
Nee, een paar weken geleden stond ie gewoon aan en werd bij het updaten van Itunes, Safari gewoon mee ge´nstalleerd. Dit was voor mij de druppel. Daarom had ik deze apple updater en quicktime eraf gesmeten. Echter blijkt Itunes Quicktime te gebruiken, dus staat het er ondertussen terug op.
Ben wel nog op zoek naar een goede Itunes vervanger die ook automatisch muziek afspeeld, mijn ipod aankan en die de library + ratings van itunes kan importeren. Zodat ik eindelijk die Quicktime, AppleMobileDeviceHelper??, ItunesHelper??, Itunes, appleUpdater... er af kan smijten!
Iemand een idee?

[Reactie gewijzigd door wiels op 1 juni 2008 13:54]

iTunes zonder QT: http://www.mydigitallife....itunes-without-quicktime/

QuickTime Alternative
QuickTime Alternative will allow you to play QuickTime files (.mov, .qt, .3gp and other extensions) without having to install the official QuickTime Player. It also supports QuickTime content that is embedded in webpages.

As a bonus, Internet Explorer will play all QuickTime movies that are embedded in a webpage. You do need a media player that is capable of playing QuickTime files. The included Media Player Classic supports it and works very well. The QuickTime Browser plugin supports Internet Explorer, Opera, Netscape and Mozilla. The QuickTime plugins include iPIX and QuickTimeVR.

Heb het niet getest, ik heb gelukkig geen iPod
eej bedankt voor de link. ik vroeg me al af hoe het moest :).

maaruh kijk dat safari standaard staat aangevinkt is idd een slechte zaak, maar dat je perse quiktime moet gebruiken als je een ipod en dus itunes gebruikt vind ik nog veel erger. En dan zegt europa wat van windows en hun media player :O.
winamp heeft (zover ik weet) al die functies ;)
probeer het eens :)
Winamp + "ml_iPod" plugin je kan de ratings/playcounts, eender wat importeren... gewoon een xml library export doen van je huidige iTunes bib en deze dan importeren in Winamp... of misschien dat je ook gewoon je iTunes Bib (het xml bestand dat er nu staat) ook gewoon kan importeren? dat weet ik niet zeker.

Synct PERFECT met m'n iPod classic, is sneller, mooier, kan veeeeel meer, ......... dan iTunes. Welcome to the magical world of: folder watching, global hotkeys, skins, visualizations, .... Noem maar op, niks dan voordelen.
Het is wel even wennen, maar geloof me, dat is het waard.

en last but not least... heb je geen vuile quicktime meer nodig ;) (installeer gewoon quicktime alternative voor de mp4/.mov bestandjes te kunnen spelen.)

[Reactie gewijzigd door 108886 op 1 juni 2008 14:19]

Sorry hoor maar er is veel ergere software waarvan je niet eens weet dat er software mee wordt ge´nstalleerd. Eigenlijk is dat vinkje gewoon zo erg gehyped dat men apple opeens als slecht beschouwt(microsoft fanboys: Hoera Microsoft is toch niet de enige Satan, blablabla). Sorry maar alleen omdat een vinkje een tijdje standaart aan stond wil dat zeggen dat apple slechte producten aflevert? Je loopt gewoon met de stroom mee, vooral omdat de baas van Mozilla Apple Software Update opeens als malware aanprees(bang voor marktverlies maar goed).
Niet vragen om een bevestiging bij het downloaden kun je ook gewoon een 'browser-feature' noemen. Ik erger me vaak dood aan die pop-up.... ja ik bezoek een FTP URL... tuurlijk wil ik dat bestand opslaan :z

Gezien de beperkte info over het gecombineerde lek vermoed ik dat dat veroorzaakt wordt door de thumbnail/preview functionaliteit in Explorer (MS raad aan de download locatie te verplaatsen waarna de vulnerability zou zijn verdwenen, maar de reporters melden dat dat onvoldoende is).

Ik verwacht dan ook dat de combined vulnerability ook bestaat voor andere browsers mits de gebruiker gewoon altijd op 'opslaan' klikt (zoals de gemiddelde gebruiker toch al doet (als die al niet gewoon op 'openen' klikt)
Niet vragen om een bevestiging bij het downloaden kun je ook gewoon een 'browser-feature' noemen. Ik erger me vaak dood aan die pop-up.... ja ik bezoek een FTP URL... tuurlijk wil ik dat bestand opslaan :z
Ik weet het niet bij IE en Firefox, maar bij Opera is de feature aanwezig :z
Hoe dan ook is het steeds aangeraden om zo een download boxje te gebruiken.
Eum neen want 'carpet bombing' is OS onafhankelijk, als geen download boxje gebruikt bij Opera kan je die techniek perfect gebruiken onder elke OS.
Mijn inziens ligt de schuld kwestie toch echt bij Apple (voor alle duidelijkheid, ik gebruik geen Apple producten en geen Windows dus dit is geen flame). Het is al jaren bekend hoe Windows omgaat met extensies (standaard niet laten zien), met het openen van bestanden (geen/amper controle bij het uitvoeren). Dat Apple er vervolgens voor kiest om Safari zonder bevestiging te laten downloaden is dan ook niet handig. Apple weet toch voor welk platform het Safari maakt, wat daar de eigenschappen van zijn? Zorg er dan als bedrijf dan ook voor dat je product zo veilig mogelijk omgaat met de mogelijkheden/beperkingen van dat platform.
Ik ben het niet met je eens.
Normaliter krijg ik hier gelukkig geen download windows op mijn Mac.
Dat wil je ook niet, want je had zelf op de link geklikt...
Echter, er komt wel een waarschuwings window als je iets wil downloaden wat executeerbaar is, zelfs als dat een PC applicatie is (die natuurlijk niet zal draaien op de Mac...)
Op de PC komt er iedere keer een waarschuwing voor iets wat je zelf gevraagd had, waardoor gebruikers zonder lezen op de OK klikken...

MS doet het nu voorkomen dat het een Safari probleem is, maar het is echt een Windows probleem, want Safari is natuurlijk niet de enige manier waarmee een file op je Desktop kan verschijnen!
Jij bekijkt het puur van de Mac kant, jij bent het gewend om geen download pop-up te krijgen dus wil je het ook niet.

Windows gebruikers krijgen altijd al zo'n pop-up dus weten ze niet beter.

En downloads vraag je niet altijd om, je kan ook een download starten zonder dat iemand op een link klikt.

Het is een probleem van MS en Apple!
Omdat er door safari ongevraagd bestanden op je bureaublad kunnen komen is het mogelijk deze via IE te starten.

Dus:
1) Apple moet download beleid voor windows aanpassen (iedereen is daar sowieso gewend aan download pop-ups);
2) MS moet de lek dichten.
Persoonlijk denk ik dat MS het overzicht aan het kwijt raken is door met teveel partijen rekening te moeten houden, aan de andere kant heeft het ze ook erg veel klanten opgebracht.

Maar de druk word denk ik te groot om een dergelijk platform als Windows pc based besturing soepel te blijven houden met al die soft en hardware fabrikanten waar MS rekening mee dient te houden.

Verder denk ik dat MS op teveel gebieden tegelijk bezig is waardoor ieder segment niet de juiste aandacht krijgt en dat patches en updates veel te lang uitblijven, het zogenaamde zoek raken in de big pile. Het is aan MS om hierin verbetering aan te brengen want sinds Gates weg is en Ballmer het schip leidt word het steeds erger.

Als ik van de week hoor dat Symantec NIS 2008 in combinatie met XP SP3 een hoop register problemen opleverd waardoor user right onder andere onherstelbaar vernaderd worden en rondkijk op het net dat velen daarmee geconfronteerd zijn dan vind ik dat een kwalijke zaak. ALs je dan beide belt voor een oplossing dan is het vrijwel alleen maar vingertje wijzen naar elkaar.

Bottom line, of er nu wel of niet back up mogelijkheden zijn want er altijd een nieuwe generatie gebruikers, dit zijn zaken die gewoonweg niet mogen gebeuren dat alleen een herinstal noodzakelijk is. Een PC is nu eenmaal onderdeel van een mens geworden voor dagelijks gebruik en als dit soort fouten nog steeds anno 2008 mogelijk zijn gaan we de verkeerde kant op.
Dus ik maak een HTML'tje met een wel of niet verborgen iframe dat om de seconde naar een ander bestand linkt dat gedownload wordt. Als ik het goed begrijp is dat de bug. (Welke op zijn beurt weer misbruikt kan worden door een bug in IE)
Nou heren devvers van Safari en IE, kom van jullie luie reet af, want dit niet fixen slaat natuurlijk nergens op. Wat is 1 dialoogvenstertje in een browser(Safari)? En wat the heck is er met de devvers van IE? Het is al een jaar bekend dat er zonder toestemming bestanden kunnen worden gestart, hallo?
Naar mijn mening zijn dit 2 browsers die je dus gewoon niet kunt vertrouwen. Als devvers al aangeven dat het nog maanden kan duren, dan is zo'n product tot die tijd gewoon waardeloos.
Niet kunnen vertrouwen is ook weer onzin, men zou het sneller mogen patchen maar het gebruik van een browser is net zo veilig als ieder ander die je ooit gebruikt hebt. Ik heb in het gehele verleden nog nooit problemen ondervonden.
Ik ga echt geen IE of FireFox gebruiken hier op mijn Vista hoor. IE is te instabiel en is zo opdringerig dat als ik FireFox als standard browser gebruik, er nog de helft van de tijd IE voor floept. Safari werkt tenminste lekker.
Gebruik dan Opera, heeft betere ondersteuning dan safari maar is een heel stuk veiliger en sneller.

firefox kan ik ook niet gebruiken op vista, is gewoon vÚÚl te traag, heb wel een tijdje safari gebruikt, maar da's net zulk rommel als itunes, sloopt meer dan dat 't handig is.
En daar floept IE dan niet voor ?
Het lag toch aan een 'opdringerige' IE, dus bij mijn weten kan Safari het gedrag van IE niet veranderen, en zal IE ook voor Safari floepen...
Je het is een beetje vaag, bij FireFox doet IE erg opdringerig, om een of andere reden bij Safari niet. Ik weet ook niet hoe het zit. Het is gewoon zo. Zou idd ook nog opera kunnen gaan gebruiken.
Gewoon bij je standaard programma's FF als default instellen. Heb je (zo goed als) nooit meer last van IE die opent als jij dat niet wilt.
Ik heb er in ieder geval geen last van op mijn Vista Laptop, zelfs niet als ik de windows updater laat zoeken. Krijg ik gewoon in FF!
Ik vind het wel erg sterk van microsoft dat ze gebruikers afraden safari te gebruiken terwijl de helft van het probleem uit IE blijkt voort te komen.

Ik raad gebruikers simpelweg af IE en safari te gebruiken, opgelost.
Of je IE nu wel of niet gebruikt doet niet terzake aangezien IE altijd ge´nstalleerd is.
Ja, ok maar mijn eigenlijke standpunt blijft hetzelfde, het is nu niet aan ms om gebruikers af te raden safari te gebruiken, dat ze eerst zelf hun bugs fixen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True