Tweet

0

Tapijtbom in Safari opgelost

Pleisters alleen voor Windows-versie

Eerst stelde Apple dat het ongevraagd downloaden van bestanden geen kwetsbaarheid was in de Safari-browser. Toch krijgt deze ‘tapijtbom’ een patch. In de bijhorende waarschuwing geeft Apple toe dat er sprake is van een zwak punt dat kan leiden tot het uitvoeren van “arbitraire code”. Er verschijnen ook pleisters voor drie andere lekken – uitsluitend voor Windows XP en Vista.

In Safari volstond het om op een link te klikken om een bestand te downloaden. In tegenstelling tot andere browsermerken verscheen er geen venster met de vraag of u echt tot het downloaden wilt overgaan.

Volgens beveiligingsexperts een probleem, want de gedownloade bestanden werden (standaard) op het bureaublad gezet. Een onoplettende computergebruiker zou dan zonder na te denken een malafide download kunnen aanklikken.

Het probleem zit alleen in de Windows-versie van Safari. Onder Mac OS X 10.5 krijgt u de eerste maal dat u een gedownload bestand opstart wél eerst een waarschuwing te zien. Het uitvoeren begint pas als u in dit venster op ‘ok’ klikt. Dit verzoek is echter een eigenschap van het besturingssysteem en dus niet present op Windows.

Onder Windows zal een Safari-gebruiker nu moeten bevestigen dat hij wil downloaden. De standaardbestemming voor een afgehaald bestand verandert van het bureaublad naar de map Downloads- (Vista) of Documents (XP).

Andere lekken
De drie andere Safari-problemen schuilen ook alleen in de Windows-versie. Het gaat om een lek dat toelaat om de inhoud van het geheugen te lezen door een malafide BMP- of GIF-beeld aan te bieden en een zwak punt in het Javascript-onderdeel van de browser.

Het derde probleem is eigenlijk een lek in IE7, maar dat wel repercussies heeft voor Safari.

bron: ZDNet