Ett flertal sårbarheter har identifierats i Apples webbläsare, Safari. Vid ett effektivt utnyttjande kan sårbarheterna bland annat utnyttjas för att samla in känslig information och för att exekvera godtycklig kod på ett sårbart system.
Apple har släppt uppdateringar till Safari för både OS X "Tiger" och OS X "Leopard", samt Microsoft Windows.
Clickjacking kallas ett nytt sätt att angripa webbläsare. I princip alla populära webbläsare som Microsoft Internet Explorer, Mozilla Firefox, Apple Safari och Google Chrome har rapporterats som sårbara. Säkerhetsbristen bygger på att angriparen kan ta kontroll över vilka länkar din webbläsare ofrivilligt kommer klicka på när en hemsida besöks.
Detta utan att JavaScript är aktiverat. Problemet är också att denna sårbarhet verkar vara väldigt svårt att åtgärda. Den enda säkra webbläsaren just nu, skall vara text-baserade Lynx, enligt de som hittat sårbarheten. Även Firefox med tillägget NoScript rätt konfigurerad ska ge skydd.
Källa: zdnet
Googles helt nya webbläsare är sårbar för "carpet-bombing", som kan utsätta Windows-användare för irriterande och riskfyllda attacker.
Bara timmar efter beta-releasen av Google Chrome, så upptäckte forskaren Aviv Raff att han kunde kombinera två säkerhetsbrister:
- ett fel i Apples Safari (WebKit)
- en Java bugg, som diskuterades vid årets Black Hat-konferensen.
Raff har kokat ihop en ofarlig demo av attacken i handling, som visar hur ett Google Chrome användare kan lockas till att ladda ner och starta en JAR (Java Archive) fil som får verkställas utan varning.
I ett proof-of-concept, visar Raff hur en hackare kan lura en användare genom två musklick, att plantera skadlig programvara på Windows-datorer.
Google Chrome's "user-agent" visar att Chrome är faktiskt WebKit 525,13 (Safari 3.1), vilket är en föråldrad och den sårbara versionen av webbläsaren.
Apple fixade "carpet-bombing" problemet med Safari v3.1.2.
För er som i alla fall vill prova webbläsaren så kan man ladda hem den från: Google Chrome.
Nu under måndagskvällen släppte Apple en skarp version av MacOS X 10.5.4. Lite tidigare än vad som var förväntat. Några de saker som har fixats är bland annat iCal, AirPort, Safari, Spaces och Exposé. Dessutom har Apple byggt in stöd för fler digitalkameror. Den största nyheten är emellertid att Apple äntligen har åtgärdat problemet som gjort att användare av Adobe Creative Suite 3 inte kunnat spara filer på nätverket.
För drygt en månad sedan upptäcktes en allvarlig säkerhetsbrist i Windows versionen av webbläsaren Safari. I värsta fall kunde ett besök på en illasinnad webbplats fylla besökarens skrivbord med skadlig kod, något som kallas för "carpet bombing".
Trots att Apple till en början försökte skylla allt på Microsoft har man nu tagit sitt förnuft till fånga och uppdaterat Safari till version 3.1.2.
Som vanligt kan man välja om man vill ladda ner uppdateringen via Apples webbplats eller från Apple Software Update.
Säkerhetsbristen i Apples webbläsare Safari rapporterades 15 maj av Nitesh Dhanjani. Då var farhågorna att buggen kunde användas för att skicka massvis med körbara filer till en angripen dator. Två veckor senare sa säkerhetsexperten Aviv Raff att om buggen i Safari kombineras med buggar i Windows och i Internet Explorer så kan den även användas för att köra valfria program på en angripen dator.
Apple har sagt att det inte anser buggen allvarlig och inte har några planer på att publicera en lagning, så kallad Patch. Microsoft däremot har skickat ut en varning för buggen i Apples kod den 30 maj. Det kan vara ett tecken på att Microsoft utvecklar en patch.
Buggen påverkar alla versioner av Windows XP och Vista, enligt Microsoft.
Säkerhetsexperten Nitesh Dhanjani har han tagit kontakt med Apple om alla tre buggarna och fått positiv respons på en av dem. Det gäller en bugg som låter en angripare stjäla filer från en användares dator via Internet. Apple har svarat att det tar den buggen på allvar och arbetar med att åtgärda den. Så den berättar han inga detaljer om.
Men de andra två buggarna menar han att Apple struntar i. Så för att sätta lite eld i baken på Apple så har han publicerat detaljer om hur de kan användas för att ställa till problem för en användare.
Den första buggen kallar han Safari Carpet Bomb. Enligt honom gör den det möjligt för en skadlig webbsida att fylla besökarens skrivbord med skadlig kod på en Windows dator. Om Safari-användaren kör MacOS X hamnar filerna i katalogen Downloads. Problemet är att det gör det utan att fråga användaren om denne vill ha några filer nedladdade. Dhanjanis slutsats är att detta är ett sätt som öppnar för angripare att föra över massvis med skadliga filer till användarens dator.
Apples svar gick ut på att det nog skulle vara en bra idé att systemet frågar användaren. Men att det nog inte är så farligt.
Det andra förslaget till förbättring som Apple prioriterat ner, är att sandlådan som ska kolla om HTML-kod är skadlig inte är kopplad till de lokala resurserna. I sitt svar till Dhanjani säger Apple att det nog behöver tänka en stund.
Källa: Nitesh Dhanjanis blogg
Apple har släppt en säkerhetsuppdatering till OS X - en av de mest omfångsrika någonsin. Inte mindre än 44 komponenter fixas till, bland annat Safari och Mail. Efter uppdateringen blir det betydligt svårare för en hacker att ta över din Mac.
Apple har släppt en ny säkerhetsuppdatering: Security Update 2005-007. Uppdateringen är en av de mest omfångsrika någonsin, och åtgärdar massor av säkerhetshål och brister i OS X. Syftet är att täppa till sådana hål som gör det möjligt för en hacker att ta kommando över datorn på distans, och använda den till allehanda aktiviteter.
Uppdateringen fixar till komponenter som Safari, Mail, Bluetooth och X11, och rekommenderas för samtliga användare. Storleken är cirka 17,5 megabyte, och den finns tillgänglig i Programuppdatering nu.
Inlägg
Alla kommentarer
