Tapijtbom-lek in Safari na 2 jaar nog niet gepacht
Een beveiligingslek in Apple Safari waardoor aanvallers zonder toestemming allemaal kwaadaardige bestanden op de computer kunnen plaatsen, is twee jaar na dato nog altijd niet gepatcht. Onderzoeker Nitesh Dhanjani ontdekte dat de browser van Apple geen toestemming vraagt voor het accepteren van downloads. Volgens Apple ging het niet om een beveiligingsprobleem, aangezien de gebruiker nog altijd zelf het bestand moest openen. Zowel Dhanjani als anderen, waaronder Microsoft, waren het hier niet mee eens. Het lek werd zelfs uitgeroepen tot één van de gevaarlijkste lekken van 2008.
Vanwege de druk van Microsoft werd het probleem voor de Windows versie opgelost, maar de Mac OS X versie van Safari wacht nu al twee jaar op een update. "Dit betekent dat als je de Safari browser op OS X gebruikt, een aanvaller een onbeperkte hoeveelheid kwaadaardige bestanden in je downloads map kan plaatsen." Dhanjani vindt de houding van Apple onbegrjipelijk.
Doelwit
"In deze tijd worden grote bedrijven door staat gesponsorde aanvallen en bedrijfsspionage geïnfiltreerd, waar de eerste stap vaak het installeren van malware is op de desktop van de gebruikers van het aangevallen bedrijf." Door het groeiende marktaandeel van Safari en de lakse houding van Apple, wordt de browser een steeds aantrekkelijker doelwit voor aanvallers. Gebruikers en bedrijven zijn dan ook gewaarschuwd, aldus de onderzoeker.
I knew it, die overpriced bagger bewijst maar weer.
Ondanks dit vreeeslijke veiligheidsprobleem is mijn download directory nog beangstigend leeg, zit ik wel op hetzelfde internet?
Ik heb vooralsnog één situatie meegemaakt waarin dit een "probleem" was, en dat was ook nog eens in samenhang met een third party plugin die na een crash of een andere onverwachte beëindiging van safari, bij de volgende start alle openstaande tabbladen herstelt. De schade? een eerder gedownload bestand is opnieuw gedownload.
Zeker, dit kan misbruikt worden, maar ik heb het nog niet meegemaakt. Ik kan me er wel in vinden dat Apple mij niet lastigvalt met een irritante extra dialoog box, zolang dat niet nodig is.
Leak??
Ondanks dit vreeeslijke veiligheidsprobleem is mijn download directory nog beangstigend leeg, zit ik wel op hetzelfde internet?
Ik heb vooralsnog één situatie meegemaakt waarin dit een "probleem" was, en dat was ook nog eens in samenhang met een third party plugin die na een crash of een andere onverwachte beëindiging van safari, bij de volgende start alle openstaande tabbladen herstelt. De schade? een eerder gedownload bestand is opnieuw gedownload.
Zeker, dit kan misbruikt worden, maar ik heb het nog niet meegemaakt. Ik kan me er wel in vinden dat Apple mij niet lastigvalt met een irritante extra dialoog box, zolang dat niet nodig is.
Stap 1: download bestand zonder dat de gebruiker het weet
Stap 2: misbruik een bug en start het bestand van stap 1.
Stap 1: download bestand zonder dat de gebruiker het weet
Stap 2: misbruik een bug en start het bestand van stap 1.
Niet ondenkbaar?
Kinderlijk eenvoudig zul je bedoelen. Vooral omdat de 'Apple mensjes' denken dat de security altijd wel goed zit :)
Niet ondenkbaar?
Kinderlijk eenvoudig zul je bedoelen. Vooral omdat de 'Apple mensjes' denken dat de security altijd wel goed zit :)[/quote]Laat maar zien. Want de enorme OS-X botnets en de massieve vloedgolf van spam van gehackte OS-X-machines is overweldigend bewijs van hoe kinderlijk eenvoudig het wel niet is. Oh wacht, er zijn geen OS-X botnets en spammers laten al die kant-en-klare eenvoudig te exploiten postfix-installaties gewoon links liggen, ook al is OS-X inmiddels goed voor 1 op de 16 computers in deze wereld.
Niet alleen neem je niet de moeite mijn post eerst helemaal te lezen (en te begrijpen), want dan zou je gelezen hebben dat ik erken dat er een potentieel probleem is, maar los daarvan snijden ook je tegenargumenten geen van alle hout.
Problemen voorzien is een ding, maar ik heb geen enkele behoefte gebukt te gaan onder maatregelen tegen alle denkbare dreigingen.
Wil je dat onnozel en naief noemen dan ga je vooral je gang maar, maar het is niet onnozeler of naiever dat het idee veilig te zijn als je je tegen alle dankbare dreigingen hebt ingedekt, want ik garandeer je dan over het ondenkbare zult struikelen.
mensen leren het nooit...
Niet alleen neem je niet de moeite mijn post eerst helemaal te lezen (en te begrijpen), want dan zou je gelezen hebben dat ik erken dat er een potentieel probleem is, maar los daarvan snijden ook je tegenargumenten geen van alle hout.
Problemen voorzien is een ding, maar ik heb geen enkele behoefte gebukt te gaan onder maatregelen tegen alle denkbare dreigingen.
Wil je dat onnozel en naief noemen dan ga je vooral je gang maar, maar het is niet onnozeler of naiever dat het idee veilig te zijn als je je tegen alle dankbare dreigingen hebt ingedekt, want ik garandeer je dan over het ondenkbare zult struikelen.
mensen leren het nooit...
Ik heb je post wel degelijk gelezen en ook het gegeven dat je het potentiële probleem erkent maar ik vind het onnozel om ondanks deze (h)erkenning niets aan de potentiële dreiging te willen doen en behoorlijk "naïef" om te geloven dat het potentiële probleem niet bestaat als je er niet mee lastig wordt gevallen. Ik ben het overigens met je eens, in die zin dat je nooit alle - zelfs niet bij benadering alle - dreigingen kunt wegnemen en je per definitie niet veiliger zult gaan voelen als je je tegen alles probeert in te dekken. Anderzijds wordt het er natuurlijk niet beter op als je alle dreigingen dan maar gewoon negeert. Mijn plan : Pak tenminste de belangrijkste bekende problemen tijdig aan door de grootste dreiging weg te nemen ! Dus green struisvogelpolitiek maar gewoon een nuchtere rationele benadering van het probleem
Maar ik vrees : Mensen leren het nooit !
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.