Lek in Safari maakt Windows-pc kwetsbaar

Dat melden diverse IT-beveiligingsexperts en waarschuwingsdiensten, waaronder het United States Computer Emergency Readiness Team (US-CERT) en het Deense bedrijf Secunia.

Redactie AG ConnectMeer van deze auteur

De kwetsbaarheid is een gevolg van een fout in de manier waarop Safari met vensterobjecten omgaat. Hierdoor kan een hacker op afstand naar believen programmacode uitvoeren op een pc. Er is al ‘exploit code’ in omloop die misbruik maakt van het lek.

De browser laat toe dat een vensterobject wordt verwijderd terwijl verwijzingen naar dat object blijven bestaan. Als vervolgens JavaScript-code probeert het gewiste vensterobject te gebruiken, kan dat uitmonden in het gebruik van een niet-gevalideerde ‘pointer’ (verwijzing). Een aanvaller kan deze pointer besturen.

Kwaadwillenden kunnen een aanval opzetten door een pc-gebruiker zo gek te krijgen een HTML-document te bekijken met Safari. Dat HTML-document kan een webpagina zijn, een HTML-mailtje of een HTML-bijlage bij een tekstmail. Ook door het sluiten van een pop-up-venster op een kwaadaardige website kan de gebruiker ongewild de deur naar zijn pc openzetten. Hierna kan de aanvaller willekeurige programmacode op de getroffen pc uitvoeren met dezelfde rechten als de legitieme gebruiker.

Volgens IT-beveiligingsbedrijf Secunia is bevestigd dat het lek bestaat in versie 4.0.5 van Safari voor Windows. Het valt niet uit te sluiten dat ook andere versies kwetsbaar zijn. Dit betekent dat in principe ook gebruikers van de Mac-versie op hun hoede moeten zijn.

Voorzover bekend is er nog geen praktische oplossing voor het probleem beschikbaar, aldus US-CERT. Met andere woorden, het gaat om en ‘zero-day’ lek. Wel kan de Safari-gebruiker het gevaar afwenden door JavaScript uit te schakelen, met verminderde functionaliteit van de browser als gevolg. US-CERT adviseert om in elk geval geen ‘ongevraagde’ links aan te klikken die binnenkomen via e-mail, instant messaging, IRC-kanalen, webfora en dergelijke.

Apple verspreidde in maart voor het laatst een serie patches voor Safari. Daarbij werden 16 lekken gedicht, waaronder 6 stuks die uitsluitend in de Windows-versie van Safari zaten. Meer details hierover zijn te vinden bij de Waarschuwingsdienst van de Nederlandse overheid.