Microsoft waarschuwt dat door een bug in Apple's Safari-browser de desktop bezaaid kan raken met besmette executables. Door de Safari-bug te combineren met een nog niet gedicht lek in IE kan malware ook geïnstalleerd worden.
<img src="http://upload.userbase.be/upload/1212317503.png" align="right" border="1" width="139" height="147">De bug in Safari werd op 15 mei gepubliceerd door veiligheidsonderzoeker Nitesh Dhanjani. Een kwaadwillende kan het bureaublad van een slachtoffer middels een 'carpet bombing'-aanval geheel vullen met opstartbare malware-bestanden. Dit is mogelijk omdat Safari nooit middels een dialoogvenster om toestemming vraagt voordat de browser begint met het downloaden van bestanden. Met een eenvoudig script kan de standaard downloadlocatie van Safari, in de Windows-versie vrijwel altijd de desktop, worden vervuild. Apple's veiligheidsteam liet echter weten dat het door Dhanjani geschetste probleem niet als een acuut veiligheidslek wordt beschouwd en dat het vermoedelijk nog wel even zal duren voordat een toekomstige versie van Safari de gebruiker bij een downloadactie eerst om toestemming zal vragen.
Collega-onderzoeker Aviv Raff heeft echter ontdekt dat de bug in Safari misbruikt kan worden in combinatie met een bekend maar nog niet gedicht lek in Internet Explorer. Hierdoor kan ongemerkt kwaadaardige code op de pc van een gebruiker worden geïnstalleerd. Microsoft onderkent het probleem en heeft een security advisory uitgegeven waarin gebruikers wordt aangeraden om Safari voorlopig niet te gebruiken, totdat Apple zijn browser van een veiligheidsupdate voorziet. Ook belooft de softwaregigant met een patch voor Internet Explorer te komen, maar onduidelijk is nog wanneer en in welke vorm. Raff stelt echter dat hij Microsoft al een jaar geleden op het lek in zowel Internet Explorer 6 als 7 heeft gewezen, maar dat het softwarebedrijf nu pas actie lijkt te gaan ondernemen.
Bron: tweakers.net
