Artikel top billede

Advarsel: Risiko for tæppebombning i Safari

Sårbarhed i Safari er værre end først antaget, advarer Microsoft.

Computerworld News Service: Microsoft advarer: En allerede beskrevet sårbarhed i Apples Safaribrowser kan få alvorlige følger for Windows-brugere.

Sårbarheden i Safari, som blev fundet og offentliggjort 15. maj af sikkerhedsanalytiker Nitesh Dhanjani, lader angribere overdænge offerets Windows-skrivebord med programfiler af typen .exe i en angrebstype, der er kendt som 'tæppebombning'.

Det viser sig, at hvis denne sårbarhed udnyttes i kombination med en anden ikke-patchet sårbarhed i Internet Explorer, kan angribere kører uautoriseret software på et offers computer, mener sikkerhedsanalytiker Aviv Raff.

Raff udtaler, at han oprindeligt rapporterede sårbarheden i Internet Explorer til Microsoft for over et år siden, og at han for lige over en uge siden fortalte selskabet om, hvordan den kan kombineres med tæppebombnings-sårbarheden.

IDG News Service har testet Raffs demonstration af angrebskode, som kører Windows Lommeregner på offerets computer.

For at angrebet skal kunne lykkes, må offeret først besøge et ondsindet website med Safari-browseren, som derefter vil udløse tæppebombningen og udnytte Internet Explorer-sårbarheden.

Sådan reagerer Microsoft

Både Safari- og Internet Explorer-sårbarhederne "er moderate sårbarheder, som i kombination udgør en kritisk sårbarhed, der tillader fjernafvikling af programkode," siger Raff i et interview.

Microsoft tager sagen alvorligt.

Virksomheden offentliggjorde et såkaldt Microsoft Security Advisory, som er ekstra sikkerhedsrelaterede oplysninger til it-teknikere, om problemet i fredags, hvilket kan ses som et tegn på, at der arbejdes på en patch til Internet Explorer.

Her står der, at sårbarheden har at gøre med den måde hvorpå Windows håndterer .exe-filer samt en anbefaling om, at Windowsbrugere 'begrænser brugen af Safari som web-browser indtil en relevant patch er gjort tilgængelig fra Microsoft og/eller Apple'.

Angrebet påvirker angiveligt alle versioner af Windows XP og Vista, lyder det fra Microsoft.

Apple er dog muligvis ikke ved at falde over sine egne ben for at patche fejlen.

Dhanjani fortæller, at Apple har udtalt til ham, at Safari-sårbarheden ikke behandles som en sikkerhedsfejl, hvilket har givet kritik fra sikkerheds-communitiet.

I sidste uge opfordrede eksempelvis forbrugergruppen Stopbadware.org Apple til at genoverveje dette standpunkt.

Ifølge Raff vil flere sårbarheder, som den han fandt i Internet Explorer, sandsynligvis dukke op, med mindre Apple patcher fejlen.

"Dette er ikke den eneste fejl, der kan kombineres med Safari-sårbarheden. Hvis Microsoft patcher denne, vil Safaribrugere alligevel stadig være sårbare," siger han.

Apple har endnu ikke svaret på en henvendelse om kommentarer.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Advania Danmark A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere