eerder topic   volgend topic
  
Hacker wint 10.000 dollar voor lek in Safari
22 april 2007 - 21:00   
geplaatst door: hoogedijk
kan dit? wat is hier waar van?

Zaterdag 21 april 2007, 11:53 - Een hacker heeft 10.000 dollar gewonnen door een lek te vinden in een volledig gepatchte Mac, tijdens de Cansecwest beveiligingsconferentie in Vancouver.

De prijs van 10.000 dollar zou in eerste instantie toegekend worden aan een hacker die erin slaagde om één van twee opgestelde Macs, die draadloos met elkaar waren verbonden, binnen te dringen. Toen niemand hierin slaagde, mochten deelnemers proberen toegang te krijgen via de browser, door een e-mail met een url te versturen.

Zo slaagde New Yorker Dino Di Zovie erin om een kwetsbaarheid in Safari bloot te leggen. De url die hij verstuurde toonde een blanco pagina. Tegelijkertijd werd echter een kwetsbaarheid blootgelegd waardoor via een achterdeur in Safari alle bestanden op de computer toegankelijk waren, zo verklaarde Sean Comeau, een van de organisatoren van Cansecwest. Volgens Comeau is het lek aanwezig in alle versies van Mac OS X.

De ontdekte kwetsbaarheid wordt niet gepubliceerd. De sponsor van de geldprijs, de Tippingpoint-divisie van 3Com, draagt de gegevens over aan Apple.

Een dag voor de hackerswedstrijd op vrijdag, publiceerde Apple nog een patch voor vijfentwintig kwetsbaarheden in Mac OS X

(http://webwereld.nl/articles/46074/hacker-wint-10-000-dollar-voor-lek-in-safari.html)

Hacker wint 10.000 dollar voor lek in Safari
22 april 2007 - 21:15    reactie #1
geplaatst door: Jan van Es
Het is in ieder geval op allerlei websites wereldwijd gepubliceerd, dus ik ga er vanuit, dat het bericht klopt. Overigens heet die meneer Dino Dai Zovi (hij werkt bij Matasano Security)

http://www.macworld.com/news/2007/04/20/machack/index.php

Hacker wint 10.000 dollar voor lek in Safari
22 april 2007 - 21:19    reactie #2
geplaatst door: iTom
'T is ni echt Safari maar wel Javascript, en ook FireFox is hier kwetsbaar, en waarschijnlijk ook nog andere browsers. Effe wachten tot een update hoewel ik denk dat je niet teveel hoeft te vrezen van deze lek. Als ik het goed begrijp moet je zelf ook nog iets doen, naar een bepaalde website surfen ofzo.
Hacker wint 10.000 dollar voor lek in Safari
23 april 2007 - 00:02    reactie #3
geplaatst door: wullie
Volgens mij is het een lek in Java, dus niet Javascript. Ik heb er wel wat over gelezen, mij is alleen niet duidelijk hoe de Mac overgenomen kan worden. Volgens mij zal er toch eerst gevraagd moeten worden naar een Root/password voordat er iets geinstalleerd kan worden.
"Never underestimate the predictability of stupidity!"
Mac Mini M2 Pro, 2023 | iMac Retina 5K, 27", 2017 || retired: iMac-Alu 20"/2,4 | Powerbook G4 12"/1,3 | |iMac-bolletje 17"/1000 | Cube g4/450 | iMac rev B/233  | Quadra 475 68040 | Classic 6800 (RIP)
Hacker wint 10.000 dollar voor lek in Safari
23 april 2007 - 00:05    reactie #4
geplaatst door: Jules
Als je echt paranoide bent, kun je voorlopig (tot we weten wat de consequenties en de mogelijke oplossing zijn) Java uitzetten in de preferences van je browser.
Hacker wint 10.000 dollar voor lek in Safari
23 april 2007 - 00:29    reactie #5
geplaatst door: Robert
[news]Je kan inderdaad Java in al je browsers uitzetten en dan ben je 100% veilig.

Maar als 99,99% ook goed genoeg is dan zit je voorlopig ook nog goed, want voor zover ik weet is het lek niet gepubliceerd en ik neem aan day Apple hier snel met een update voor zal komen.[/news]

Klik hier voor informatie over het onder de aandacht brengen van producten of diensten op MacFreak.
Hacker wint 10.000 dollar voor lek in Safari
23 april 2007 - 02:34    reactie #6
geplaatst door: Jules
EDIT:
Om verdere verwarring te voorkomen, onderstaande is mijn oorspronkelijke bericht en het is volkomen onzin. Ik had verkeerd begrepen wat zero-day exploit betekent.


Ik dacht dat het een zero-day exploit was?
Wat zou betekenen dat het gat al gedicht is als je OS X met de meest recente security update hebt.

(Bewerkt door Jules om 18:09, 27-04-2007)

(Bewerkt door Jules om 18:11, 27-04-2007)

Hacker wint 10.000 dollar voor lek in Safari
23 april 2007 - 07:35    reactie #7
geplaatst door: Dark Griever
Voordat allemaal mensen hun java uitgaan zetten. Deze exploit maakte gebruik van de afhandeling van javascript, geen java. Java uitzetten is leuk, maar is voor deze exploit net zo veilig als java aanlaten. Niet namelijk.

Overigens is de kans groot dat deze unwanted feature ook in Konquerer zit en alle browsers die óók gebruik maken van KHTML rendererer.

Overigens was het idd een zero-day exploit. Hoe Jules erbij komt dat dat betekent dat ie dus gefixed is weet ik niet, want een zero-day exploit houdt in dat er dezelfde dag dat het bekend wordt, gebruik gemaakt van wordt. Als de winnaar van de wedstrijd werkelijk het geld gekregen heeft, dan betekent dat dat voor de wedstrijd de exploit bij apple niet bekend had kunnen zijn. En dus is ie nog niet gefixxed.

Hacker wint 10.000 dollar voor lek in Safari
23 april 2007 - 08:13    reactie #8
geplaatst door: hoogedijk
dus de kans is eigenlijk niet groter geworden dat er iets gebeurt.
Hacker wint 10.000 dollar voor lek in Safari
23 april 2007 - 12:55    reactie #9
geplaatst door: zach
Natuurlijk staat dit morgen op de voorpagina van de Metro.
Hacker wint 10.000 dollar voor lek in Safari
23 april 2007 - 13:16    reactie #10
geplaatst door: Spooter
Het was al eerder te lezen bij het nieuws van MAcFreak:

draadje daar vervolgen ??

Hacker wint 10.000 dollar voor lek in Safari
23 april 2007 - 13:17    reactie #11
geplaatst door: Robert
[news]Ik heb er inmiddels een nieuwsberichtje over geschreven.

Samenvattend: het lek zit in de Java-implementatie voor de Mac, het is gevonden na de laatste security update (en daar zat dus geen fix in) en de hacker heeft er weliswaar 10.000 dollar mee verdient maar vertelt er keurig niets over en heeft de details aan Apple doorgegeven.

Dus (voorlopig?) weinig om ons zorgen te maken...[/news]

Klik hier voor informatie over het onder de aandacht brengen van producten of diensten op MacFreak.
Hacker wint 10.000 dollar voor lek in Safari
23 april 2007 - 13:58    reactie #12
geplaatst door: Jules

Citaat
Dark Griever om 7:35, 23-04-2007
Voordat allemaal mensen hun java uitgaan zetten. Deze exploit maakte gebruik van de afhandeling van javascript, geen java. Java uitzetten is leuk, maar is voor deze exploit net zo veilig als java aanlaten.

Ik lees anders overal dat het wel over Java gaat en niet over javascript.

Citaat

Overigens was het idd een zero-day exploit. Hoe Jules erbij komt dat dat betekent dat ie dus gefixed is weet ik niet, want een zero-day exploit houdt in dat er dezelfde dag dat het bekend wordt, gebruik gemaakt van wordt.

Ik heb nooit met windows gewerkt en daarom helemaal geen ervaring met de terminologie. Ik dacht, laat ik de wikipedia eens raadplegen en daar vond ik deze ietwat merkwaardige definitie:

0-day exploits are released before, or on the same day the vulnerability — and, sometimes, the vendor patch — are released to the public. The term derives from the number of days between the public advisory and the release of the exploit. [1]
This definition leaves something to be desired as the name itself is an indication of the vendor patch being available, i.e. the vulnerability affected unpatched systems for zero days.

Vooral de laatste zin zette mij klaarblijkelijk op het verkeerde been.

Hacker wint 10.000 dollar voor lek in Safari
23 april 2007 - 16:24    reactie #13
geplaatst door: Dark Griever
Javascript; bron : http://tweakers.net/nieuws/47214/Safari-bug-ontdekt-tijdens-hack-wedstrijd.html.

Overigens is de connectie tussen een zero-day exploit en windows niet geheel duidelijk, maar enfin

Hacker wint 10.000 dollar voor lek in Safari
23 april 2007 - 16:42    reactie #14
geplaatst door: Jules
Lijkt me nogal logisch dat Macgebruikers wat minder op de hoogte zijn dan Windowsgebruikers van de juiste 'terminologie'. Het is nu eenmaal een feit dat Windows in de afgelopen jaren meer geplaagd werd door beveiligingsproblemen dan OS X. Of wil je dat ontkennen?  :cool:

Java-bronnen:
http://daringfireball.net/

http://www.matasano.com/log/806/hot-off-the-matasano-sms-queue-cansec-macbook-challenge-won/

Bijna onleesbare blog overigens, die tweede, dus ik twijfel zelf ook enigszins aan de geloofwaardigheid.


Hacker wint 10.000 dollar voor lek in Safari
23 april 2007 - 16:59    reactie #15
geplaatst door: Muis

Citaat
zach om 12:55, 23-04-2007
Natuurlijk staat dit morgen op de voorpagina van de Metro.

als ik in de redactie zat wel in ieder geval. waarom mag het wel op de voorpagina van MacFreak en niet van de Metro?

Hacker wint 10.000 dollar voor lek in Safari
23 april 2007 - 17:34    reactie #16
geplaatst door: Jules
Metro heeft nu niet bepaald een vlekkeloze reputatie als het om de Applegerelateerde berichtgeving gaat...
Hacker wint 10.000 dollar voor lek in Safari
27 april 2007 - 11:50    reactie #17
geplaatst door: Jules
Een interview met de maker van de exploit op daring fireball.
Het gaat overigens om een Java-exploit in QuickTime (maar dat wisten de meesten waarschijnlijk al)
Hacker wint 10.000 dollar voor lek in Safari
27 april 2007 - 12:43    reactie #18
geplaatst door: Calvin

Citaat
Jules om 2:34, 23-04-2007
Ik dacht dat het een zero-day exploit was?
Wat zou betekenen dat het gat al gedicht is als je OS X met de meest recente security update hebt.

spuit 11 opmerking, wat ik zei was al gezet......nog niet helemaal wakker ofzo... :wacko:

(Bewerkt door Calvin om 12:45, 27-04-2007)

-= Back by popular demand =-
GetdropBox.com
  
eerder topic   volgend topic