Apple patcht tapijtbomlek alsnog

Maar de Apple-ontwikkelaars hadden over het hoofd gezien dat in combinatie met de Internet Explorer, die standaard ingebakken zit in Windows, meer mogelijk was. Zo'n gedownloade pagina wordt door Internet Explorer namelijk als een lokale opdrachtgever beschouwd. Dat impliceert dat via dit mechanisme kwetsbaarheden in Internet Explorer geëxploiteerd konden worden waarvoor toegang tot het systeem nodig is. Dergelijke lekken hebben nooit de hoogste prioriteit, niet bij de eenmaal ontwikkelde patches, maar ook niet bij de inspanningen van patchers. Dat maakte het lek extra gevaarlijk.Apple stuurde de ontdekker van het lek, Nitesh Dhanjani van Capgemini, na zijn waarschuwing met een kluitje in het riet. Volgens Apple was het niet vragen om toestemming bij downloaden een bewuste ontwerpkeuze en geen lek, en lag het dus niet op Apples weg om een patch uit te brengen. Microsoft zag de ernst van de situatie wel in. Het gaf gebruikers van Safari de raad deze browser niet te gebruiken totdat Microsoft een patch had uitgebracht voor de eerste exploitatiemogelijkheid die was ontdekt. Maar dat was natuurlijk geen structurele oplossing. Het valt immers niet uit te sluiten dat opnieuw lokale beveiligingsproblemen worden ontdekt die via dit mechanisme uitgebuit kunnen worden.Bij Apple is men kennelijk nu toch ook tot dat inzicht gekomen. In versie 3.1.2 van Safari voor Windows wordt hackers op dit punt de pas afgesneden. Daarnaast zijn nog enkele minder gevaarlijke lekken gedicht.