Gat ontdekt in webbrowser op Mac OS X

22-02-2006 09:52 | Door Jasper Bakker | Lees meer artikelen over: Safari, Mac, OS X, Exploits | Er zijn nog geen reacties op dit artikel | Permalink

De Safari-webbrowser in Apple's Mac OS X blijkt een beveiligingsgat te hebben. Het gaat om een lek dat het - automatisch - uitvoeren van kwaadaardige code mogelijk maakt. Er waart vooralsnog geen exploit-code rond, maar de ontdekker heeft al wel een proof-of-concept gemaakt.

Ontdekker Michael Lehn biedt online een filmpje aan van zijn proof-of-concept. Daarin valt te zien hoe de browser een als veilig bestempeld bestandsformaat, zoals .zip of .jpg, automatisch opent na het downloaden. Eventuele commando's die zijn verborgen in het 'veilige' bestand, of exploit-code die is vermomd als 'veilig bestand' worden dan uitgevoerd. Een hiervan afgeleide demonstratie is te zien bij beveiligingsbedrijf Secunia.

Het Amerikaanse beveiligingsorgaan SANS noemt het gat een serieuze bedreiging. Het heeft die inschatting nog aangescherpt toen bleek dat de fout niet zozeer in de Safari-webbrowser zit, maar deels in het onderliggende besturingssysteem. Daardoor is ook het e-mailprogramma Mail kwetsbaar voor dit gat. Tips voor een workaround zijn al beschikbaar.

Voor serieuze beschadiging of overname van de computer zijn nog altijd de rechten van het beheerdersaccount nodig, wat bij Mac OS X niet de standaardlogin in. Toch is dit een gevoelige klap voor Apple's besturingssysteem dat als veilig, of in ieder geval veiliger dan Windows, te boek staat. Enkele dagen geleden claimde onder meer antivirusproducent Sophos het eerste virus voor Mac OS X te hebben ontdekt. Kort daarna dook er een Mac-worm op, die misbruik maakt van een fout in Bluetooth. Patches hiervoor zijn al geruime tijd beschikbaar.

	Aantal reacties met 3+ sterren		Gemiddelde waardering
1	PaVaKe	154	6.4
2	Reza Sarshar	120	6.7
3	Henri Koppen	109	6.4
4	edekkinga	79	6.6
5	Jaap-G	53	6.1
6	Guido Groeneweg	49	6.3
7	Ruud Mulder	47	6.5
8	mauwerd	43	6.1
9	Frank Brechts	43	6.0
10	Rob Koelmans	40	6.3

security / Security

Gat ontdekt in webbrowser op Mac OS X

10-02 Complexiteit elimineren met Backup Exec 2012

10-02 Avocent van Emerson beheert datacenter

09-02 Talk & Vision biedt Personal Video in de cloud

08-02 Blue Coat MACH5 kan versleutelde Flash Video aan

08-02 Interoute breidt service uit met Virtual Data...

07-02 iPad app Teamcenter AppShare deelt desktop

06-02 Netgear introduceert Intelligente Edge-switches

03-02 Siemens PLM Software introduceert Jack 7.1

02-02 CommVault breidt Simpana-software verder uit

02-02 LaCie 5big Office back-up-oplossingen voor MKB

10-02 SecureLink migreert Microsoft-diensten Atradius

09-02 Vodafone: Wij spelen klantinformatie niet door

09-02 Lang leve de hackers!

09-02 'Ook met cookiewet is gebruiker niet anoniem'

09-02 'KPN koppelt ID aan internetverkeer'

08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'

07-02 Eigen werknemer kan ook een vijand zijn

03-02 'Overheid vreest voor veiligheid in de cloud'

01-02 F5 beschermt openbare websites

31-01 Publieksvoorlichting is belangrijke taak voor NCSC

28-03-08 Nieuwe Safari-versie voor Windows lijkt haastklus

06-07-06 Hacker belooft dagelijkse browserbug in juli

27-03-06 Microsoft waarschuwt voor rondgaande IE-exploit

14-03-06 Apple brengt snel tweede patch voor Max OS X

02-03-06 Apple herstelt fouten in Mac OS X met grote update

17-02-06 Sophos ontdekt virus voor Mac OS X

16-01-06 WMF-gat in Windows Vista krijgt patch

10-01-06 Nieuwe WMF-problemen plagen Microsoft

06-01-06 Microsoft brengt WMF-patch toch eerder uit

05-06-03 Norton SystemWorks nu ook voor Mac OS X

04-11-02 MacOS, SCO, Tru64 veiligste besturingssystemen

Best Practices om laptop-data te beschermen

Computable Events - Security