2min

Tags in dit artikel

,

Apple werkte gisteren de Windows-versie van de webbrowser Safari bij. In deze patch werden vier beveiligingslekken opgelost, waaronder degene die ervoor zorgde dat Microsoft het Safari-gebruik afraadde: de carpetbomb.

De carpetbomb (tapijtbom) kon ervoor zorgen dat het bureaublad van Windows-gebruikers helemaal vol kwam te zitten met malwarebestanden. In samenwerking met Internet Explorer werd het probleem nog erger, omdat IE DLL-bestanden met een bepaalde naam die op de desktop staan standaard laadt.

In eerste instantie erkende Apple het probleem niet als een beveiligingslek en zei het bedrijf mogelijk in de toekomst het probleem op te lossen. Tot groot ongenoegen van veel beveiligingsonderzoekers, waaronder ook Microsoft, die vroegen om de beslissing te heroverwegen. Microsoft raadde zelfs het gebruik van Safari af.

Beveiligingsonderzoeker Liu Die Yu vond niet dat Safari in de fout ging, maar juist Windows. "Safari voor Windows downloadt zonder enige bevestiging bestanden op de desktop. Windows Internet Explorer laadt DLL-bestanden van de desktop als de bestandsnaam een bepaalde waarde heeft. IE laadt op deze manier dus de bestanden die door Safari zijn gedownload. Het laden van het verkeerde bestand kan voor het uitvoeren van de verkeerde code zorgen," zo liet Die Yu weten.

Het lijkt erop dat Apple de beslissing toch heeft heroverwogen. Versie 3.1.2 van de Safari-browser vraagt nu voortaan of een bestand gedownload moet worden. Ook is de standaarddownloadlocatie gewijzigd naar de map Downloads op Windows Vista en de map Mijn Documenten op Windows XP.

De andere beveiligingslekken, die overigens ook ernstig waren, hadden betrekking op misvormde afbeeldingen. Ook is er een lek in de afhandeling van JavaScript-arrays opgelost.

Safari 3.1.2 kan gedownload worden via de website van Apple of via Apple Software Update. De Mac OS X-versie van Safari is niet bijgewerkt. Het Internet Explorer-lek dat zorgt voor het uitvoeren van DLL-bestanden op de desktop, waar Microsoft al sinds 2006 van op de hoogte is, is niet opgelost.