Artikel top billede

Apple lukker for tæppebombning i Safari

Apples Safari-browser blev kendt for at kunne misbruges til at køre uautoriseret software på en Windows-maskine. Med den nyeste opdatering - version 3.1.2 skulle problemet være løst.

Computerworld News Service: Apple har skiftet kurs og har patchet en fejl i sin Safari-browser, efter sikkerhedseksperter har vist, hvordan den kunne misbruges til at køre uautoriseret software på en Windows-maskine.

'Tæppebombningsfejlen', som oprindeligt blev opdaget af sikkerhedsekspert Nitesh Dhanjani, blev til at starte med anset for mindre alvorlig, end hvad den viste sig at være.

Dhanjani viste, hvordan Safari kunne misbruges til at overdænge et offers skrivebord med downloadede programmer, men to uger efter han offentliggjorde sin opdagelse, viste en anden hacker, Aviv Raff, at denne fejl kunne udnyttes i samspil med andre problemer i Windows og Internet Explorer til at køre uautoriseret software på et offers computer.

Dette fik Microsoft til selv at offentliggøre en advarsel om problemet. Det fik også sikkerhedseksperter til at varsle forsigtighed ved brug af Safari på Windows.

Ifølge Dhanjani fortalte Apple ham oprindeligt, at virksomheden ikke have til hensigt at ordne problemet, men har nu tilsyneladende ændret mening.

[/b]Kun for Windows-maskiner[/b]
Apple har patchet fejlen med version 3.1.2. af Safari-browseren til Windows, som udkom torsdag eftermiddag. Denne opdatering lukker i alt fire sikkerhedshuller i Safari, heriblandt fejl med hvordan Safari renderer JavaScript-arrays og håndterer download af program-filer (.exe).

Herudover lukkes et mindre kritisk sikkerhedshul, i måden hvorpå Safari renderer bitmap- og gif-billedfiler, som kunne give angribere et kig ind i hukommelsen i et offers computer, ifølge Apple.

Torsdagens opdatering var kun for Windows-maskiner, Apple har endnu ikke frigivet en version 3.1.2. af Safari til Macintosh. Mac-versionen af Safari er dog også sårbar overfor tæppebombningen, men i modsætning til Windows, lider Mac'en ikke af den anden fejl, der tillader, at tæppebombningen kan udnyttes til at tage kontrol over offerets computer.

Herudover gemmer Mac OS X også downloadede filer væk i en speciel mappe i stedet for at lægge dem direkte på skrivebordet, hvilket gør tingene lidt sikrere på Mac'en, udtaler Dhanjani i et interview torsdag.

Han udtaler desuden, at det giver mening for Apple at lukke sikkerhedshullet i Windows-versionen først på grund af alvorsgraden ved angreb gennem samspil mellem de adskillige huller. Han forventer dog også en patch til Mac'en.

"Det er stadig et sikkerhedshul. Det ville undre mig meget, hvis de ikke lukker det," siger han.

Dhanjani udtaler, at han ikke har hørt fra Apple siden virksomhedens oprindelige svar på hans sikkerhedsrapport.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Despec Denmark A/S
Distributør af forbrugsstoffer, printere, it-tilbehør, mobility-tilbehør, ergonomiske produkter, kontor-maskiner og -tilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere