Over beveiligingsupdate 2007-009

Dit document beschrijft beveiligingsupdate 2007-009, die kan worden gedownload en geïnstalleerd via de voorkeuren van Software-update of via Apple Downloads.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Zie Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

Beveiligingsupdate 2007-009

Adresboek

CVE-ID: CVE-2007-4708

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

Beschrijving: Kwetsbaarheid in een opmaaktekenreeks in de URL-handler van Adresboek. Door een gebruiker ertoe te verleiden een kwaadwillig vervaardigde website te bezoeken, kan een externe aanvaller een onverwachte beëindiging van het programma of de uitvoering van willekeurige code veroorzaken. Deze update verhelpt het probleem door een verbeterde verwerking van opmaaktekenreeksen. Dit probleem is niet van invloed op systemen met Mac OS X 10.5 of nieuwer.

CFNetwork

CVE-ID: CVE-2007-4709

Beschikbaar voor: Mac OS X v10.5.1, Mac OS X Server v10.5.1

Impact: het bezoeken van een kwaadaardige website kan tot gevolg hebben dat bestanden automatisch worden gedownload naar willekeurige mappen waarvoor de gebruiker schrijfrechten heeft.

Beschrijving: Er is een 'path traversal'-probleem bij de verwerking van gedownloade bestanden door CFNetwork. Door een gebruiker te verleiden een kwaadaardige website te bezoeken, kan een aanvaller ervoor zorgen dat bestanden automatisch worden gedownload naar willekeurige mappen waarvoor de gebruiker schrijfrechten heeft. Deze update verhelpt het probleem door een verbeterde verwerking van HTTP-antwoorden. Dit probleem is niet van invloed op systemen ouder dan Mac OS X 10.5. Met dank aan Sean Harding voor het melden van dit probleem.

ColorSync

CVE-ID: CVE-2007-4710

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Impact: het bekijken van een kwaadwillig vervaardigde afbeelding met een ingesloten ColorSync-profiel kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

Beschrijving: Er is een probleem met geheugenbeschadiging bij de verwerking van afbeeldingen met een ingesloten ColorSync-profiel. Door een gebruiker te verleiden een kwaadwillig vervaardigde afbeelding te openen, kan een aanvaller een onverwachte beëindiging van het programma of de uitvoering van willekeurige code veroorzaken. Deze update verhelpt het probleem door aanvullende validatie van afbeeldingen uit te voeren. Dit probleem is niet van invloed op systemen met Mac OS X 10.5 of nieuwer. Met dank aan Tom Ferris van het Adobe Secure Software Engineering Team (ASSET) voor het melden van dit probleem.

Core Foundation

CVE-ID: CVE-2007-5847

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Impact: het gebruik van de API CFURLWriteDataAndPropertiesToResource kan leiden tot de openbaarmaking van gevoelige informatie.

Beschrijving: De API CFURLWriteDataAndPropertiesToResource bevat een racevoorwaarde waardoor bestanden kunnen worden gemaakt met onveilige machtigingen. Dit kan leiden tot het vrijgeven van gevoelige informatie. Deze update verhelpt het probleem door verbeterde bestandsverwerking. Dit probleem is niet van invloed op systemen met Mac OS X 10.5 of nieuwer.

CUPS

CVE-ID: CVE-2007-5848

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Impact: een lokale beheerder kan mogelijk systeemrechten krijgen.

Beschrijving: Er is een probleem met een bufferoverloop in het printerstuurprogramma voor CUPS. Hierdoor kan een lokale beheerder systeemrechten krijgen door een kwaadwillig vervaardigde URI door te geven aan de CUPS-service. Deze update verhelpt het probleem door ervoor te zorgen dat de bestemmingsbuffer de juiste grootte heeft om de gegevens te bevatten. Dit probleem is niet van invloed op systemen met Mac OS X 10.5 of nieuwer. Met dank aan Dave Camp van Critical Path Software voor het melden van dit probleem.

CUPS

CVE-ID: CVE-2007-4351

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.1, Mac OS X Server v10.5.1

Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken.

Beschrijving: er is een probleem met geheugenbeschadiging bij de verwerking van IPP-tags (Internet Printing Protocol) waardoor een externe aanvaller een onverwachte beëindiging van het programma of de uitvoering van willekeurige code kan veroorzaken. Deze update verhelpt het probleem door een verbeterde bereikcontrole.

CUPS

CVE-ID: CVE-2007-5849

Beschikbaar voor: Mac OS X v10.5.1, Mac OS X Server v10.5.1

Impact: als SNMP is ingeschakeld, kan een externe aanvaller het programma onverwacht beëindigen of willekeurige code uitvoeren.

Beschrijving: het SNMP-programma in de CUPS-back-end zendt SNMP-verzoeken uit om netwerkprintservers te ontdekken. Hierdoor kan een stackbufferoverloop optreden als gevolg van een onderloop van gehele getallen bij de verwerking van SNMP-antwoorden. Als SNMP is ingeschakeld, kan een externe aanvaller misbruik maken van dit probleem door een kwaadwillig vervaardigd SNMP-antwoord te verzenden, wat kan leiden tot het beëindigen van een programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door aanvullende validatie van SNMP-antwoorden uit te voeren. Dit probleem is niet van invloed op systemen ouder dan Mac OS X 10.5. Met dank aan Wei Wang van McAfee Avert Labs voor het melden van dit probleem.

Desktop Services

CVE-ID: CVE-2007-5850

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Impact: het openen van een map met een kwaadwillig vervaardigd .DS_Store-bestand in de Finder kan leiden tot het uitvoeren van willekeurige code.

Beschrijving: overloop van heapbuffer in Desktop Services. Door een gebruiker te verleiden een map te openen die een kwaadwillig vervaardigd .DS_Store-bestand bevat, kan een aanvaller willekeurige code uitvoeren. Deze update verhelpt het probleem door een verbeterde bereikcontrole. Dit probleem is niet van invloed op systemen met Mac OS X 10.5 of nieuwer.

Flash Player-plug-in

CVE-ID: CVE-2007-5476

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.1, Mac OS X Server v10.5.1

Impact: meerdere kwetsbaarheden in Adobe Flash Player-plug-in

Beschrijving: Er treden meerdere problemen met de validatie van invoer op in de Adobe Flash Player-plug-in, wat kan leiden tot het uitvoeren van willekeurige code. Deze update lost het probleem op door Adobe Flash Player bij te werken naar versie 9.0.115.0. Meer informatie is beschikbaar op de Adobe-site op https://helpx.adobe.com/nl/security/security-bulletin.html. Met dank aan Opera Software voor het melden van dit probleem.

GNU Tar

CVE-ID: CVE-2007-4131

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Impact: het uitpakken van een kwaadwillig vervaardigd tar-archief kan willekeurige bestanden overschrijven.

Beschrijving: er is een probleem met het doorlopen van mappen in GNU Tar. Door een lokale gebruiker ertoe te verleiden een kwaadwillig vervaardigd tar-archief uit te pakken, kan een aanvaller ervoor zorgen dat willekeurige bestanden worden overschreven. Dit probleem is verholpen door aanvullende validatie van tar-bestanden uit te voeren. Dit probleem is niet van invloed op systemen met Mac OS X 10.5 of nieuwer.

iChat

CVE-ID: CVE-2007-5851

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Impact: een persoon op het lokale netwerk kan een videoverbinding tot stand brengen zonder toestemming van de gebruiker.

Beschrijving: een aanvaller op het lokale netwerk kan een videoconferentie starten met een gebruiker zonder toestemming van de gebruiker. Deze update verhelpt het probleem door gebruikersinteractie te vereisen voor het starten van een ​​videoconferentie. Dit probleem is niet van invloed op systemen met Mac OS X 10.5 of nieuwer.

IO Storage Family

CVE-ID: CVE-2007-5853

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Impact: het openen van een kwaadwillig vervaardigde schijfkopie kan leiden tot het onverwacht afsluiten van het systeem of het uitvoeren van willekeurige code.

Beschrijving: er is een probleem met geheugenbeschadiging bij de verwerking van GUID-partitietoewijzingen binnen een schijfkopie. Door een gebruiker te verleiden een kwaadwillig vervaardigde schijfkopie te openen, kan een aanvaller het systeem onverwacht afsluiten of willekeurige code uitvoeren. Deze update lost het probleem op door extra validatie van GUID-partitietoewijzingen. Dit probleem is niet van invloed op systemen met Mac OS X 10.5 of nieuwer.

Launch Services

CVE-ID: CVE-2007-5854

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.1, Mac OS X Server v10.5.1

Impact: het openen van een kwaadwillig vervaardigd HTML-bestand kan leiden tot het vrijgeven van informatie of cross-site scripting.

Beschrijving: Launch Services behandelt HTML-bestanden niet als mogelijk onveilige inhoud. Door een gebruiker te verleiden een kwaadwillig vervaardigd HTML-bestand te openen, kan een aanvaller gevoelige informatie vrijgeven of cross-site scripting veroorzaken. Deze update verhelpt het probleem door HTML-bestanden te behandelen als mogelijk onveilige inhoud. Met dank aan Michal Zalewski van Google Inc. voor het melden van dit probleem.

Launch Services

CVE-ID: CVE-2007-6165

Beschikbaar voor: Mac OS X v10.5.1, Mac OS X Server v10.5.1

Impact: het openen van een uitvoerbare e-mailbijlage kan zonder waarschuwing leiden tot het uitvoeren van willekeurige code.

Beschrijving: er is een implementatieprobleem in Launch Services waardoor uitvoerbare e-mailbijlagen zonder waarschuwing kunnen worden uitgevoerd wanneer een gebruiker een e-mailbijlage opent. Deze update lost het probleem op door de gebruiker te waarschuwen voordat uitvoerbare e-mailbijlagen worden gestart. Dit probleem is niet van invloed op systemen ouder dan Mac OS X 10.5. Met dank aan Xeno Kovah voor het melden van dit probleem.

Mail

CVE-ID: CVE-2007-5855

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Impact: SMTP-accounts die zijn ingesteld via Account Assistant kunnen niet-gecodeerde authenticatie gebruiken, zelfs als authenticatie met MD5 Challenge-Responseauthenticatie beschikbaar is.

Beschrijving: Als tijdens het instellen van een SMTP-account via Account Assistant SMTP-authenticatie wordt geselecteerd en als de server alleen MD5 Challenge-Response-authenticatie en niet-gecodeerde authenticatie ondersteunt, gebruikt Mail standaard niet-gecodeerde authenticatie. Deze update verhelpt het probleem door ervoor te zorgen dat het veiligste beschikbare mechanisme wordt gebruikt. Dit probleem is niet van invloed op systemen met Mac OS X 10.5 of nieuwer.

perl

CVE-ID: CVE-2007-5116

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.1, Mac OS X Server v10.5.1

Impact: het parseren van reguliere expressies kan leiden tot het uitvoeren van willekeurige code.

Beschrijving: er is een probleem met de lengteberekening in de ondersteuning voor polymorfe opcode in de Perl Regular Expression-compiler. Hierdoor kan een aanvaller geheugenbeschadiging veroorzaken, wat kan leiden tot het uitvoeren van willekeurige code door over te schakelen van byte- naar Unicode-tekens (UTF) in een reguliere expressie. Deze update verhelpt het probleem door de lengte opnieuw te berekenen als de tekencodering verandert. Met dank aan Tavis Ormandy en Will Drewry van Google Security Team voor het melden van dit probleem.

python

CVE-ID: CVE-2007-4965

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.1, Mac OS X Server v10.5.1

Impact: het verwerken van afbeeldingsmateriaal met de imageop-module kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

Beschrijving: er is sprake van meerdere gevallen van overloop van gehele getallen in de imageop-module van Python. Deze kunnen een bufferoverloop veroorzaken in programma's die de module gebruiken om kwaadwillig vervaardigde afbeeldingsmateriaal te verwerken. Dit kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code. Deze update verhelpt het probleem door aanvullende validatie van afbeeldingsmateriaal uit te voeren.

Quick Look

CVE-ID: CVE-2007-5856

Beschikbaar voor: Mac OS X v10.5.1, Mac OS X Server v10.5.1

Impact: het weergeven van een voorvertoning van een bestand terwijl QuickLook is ingeschakeld, kan leiden tot het vrijgeven van gevoelige informatie.

Beschrijving: bij het weergeven van een voorvertoning van een HTML-bestand worden plug-ins niet beperkt in het verzenden van netwerkverzoeken. Dit kan leiden tot het vrijgeven van gevoelige informatie. Deze update verhelpt het probleem door plug-ins uit te schakelen. Dit probleem is niet van invloed op systemen ouder dan Mac OS X 10.5.

Quick Look

CVE-ID: CVE-2007-5857

Beschikbaar voor: Mac OS X v10.5.1, Mac OS X Server v10.5.1

Impact: het weergeven van een voorvertoning van een filmbestand kan toegang geven tot URL's in de film.

Beschrijving: Door een pictogram voor een filmbestand te maken, of een voorvertoning van dat bestand te bekijken met behulp van QuickLook, kan mogelijk toegang worden verkregen tot URL's in de film. Deze update verhelpt het probleem door HREFTrack uit te schakelen tijdens het bladeren door filmbestanden. Dit probleem is niet van invloed op systemen ouder dan Mac OS X 10.5 of systemen waarop QuickTime 7.3 is geïnstalleerd. Met dank aan Lukhnos D. Liu van Lithoglyph Inc. voor het melden van dit probleem.

ruby

CVE-ID: CVE-2007-5770

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.1, Mac OS X Server v10.5.1

Impact: er zijn meerdere validatieproblemen met SSL-certificaten in ruby-bibliotheken.

Beschrijving: Meerdere ruby-bibliotheken hebben te maken met validatieproblemen met SSL-certificaten. Dit kan leiden tot man-in-the-middle-aanvallen op programma's die gebruikmaken van een getroffen bibliotheek. Deze update lost de problemen op door de ruby-patch toe te passen.

ruby

CVE-ID: CVE-2007-5379, CVE-2007-5380, CVE-2007-6077

Beschikbaar voor: Mac OS X v10.5.1, Mac OS X Server v10.5.1

Impact: er bestaan meerdere kwetsbaarheden in Rails 1.2.3

Beschrijving: er bestaan meerdere kwetsbaarheden in Rails 1.2.3 die kunnen leiden tot het vrijgeven van gevoelige informatie. Deze update lost het probleem op door Rails bij te werken naar versie 1.2.6. Dit probleem is niet van invloed op systemen ouder dan Mac OS X 10.5.

Safari

CVE-ID: CVE-2007-5858

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.1, Mac OS X Server v10.5.1

Impact: het bezoeken van een kwaadwillende website kan resulteren in het vrijgeven van gevoelige informatie.

Beschrijving: Met WebKit kan een pagina door de subframes van een andere pagina navigeren. Het bezoeken van een kwaadwillig vervaardigde webpagina kan leiden tot een cross-site scripting-aanval die het vrijgeven van gevoelige informatie tot gevolg kan hebben. Deze update lost het probleem op door een strenger kadernavigatiebeleid te implementeren.

Safari RSS

CVE-ID: CVE-2007-5859

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Impact: toegang tot een kwaadwillig vervaardigde feed-URL kan leiden tot het beëindigen van een programma of het uitvoeren van willekeurige code.

Beschrijving: Er is een probleem met geheugenbeschadiging bij de verwerking van feed-URL's door Safari. Door een gebruiker te verleiden om toegang te krijgen tot een kwaadwillig vervaardigde URL, kan een aanvaller een onverwachte beëindiging van het programma of de uitvoering van willekeurige code veroorzaken. Deze update verhelpt het probleem door aanvullende validatie van feed-URL's uit te voeren en een foutmelding te geven in het geval van een ongeldige URL. Dit probleem is niet van invloed op systemen met Mac OS X 10.5 of nieuwer.

Samba

CVE-ID: CVE-2007-4572, CVE-2007-5398

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.1, Mac OS X Server v10.5.1

Impact: meerdere kwetsbaarheden in Samba

Beschrijving: Er bestaan meerdere kwetsbaarheden in Samba, waarvan de ernstigste de uitvoering van externe code is. Deze update lost de problemen op door patches van het Samba-project toe te passen. Meer informatie is beschikbaar via de Samba-website op http://www.samba.org/samba/history/security.html CVE-2007-4138 heeft geen invloed op systemen ouder dan Mac OS X 10.5. Met dank aan Alin Rad Pop van Secunia Research voor het melden van dit probleem.

Shockwave-plug-in

CVE-ID: CVE-2006-0024

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.1, Mac OS X Server v10.5.1

Impact: het openen van kwaadwillig vervaardigd Shockwave-materiaal kan leiden tot het uitvoeren van willekeurige code.

Beschrijving: Er bestaan meerdere kwetsbaarheden in Shockwave Player. Door een gebruiker te verleiden om kwaadwillig vervaardigd Shockwave-materiaal te openen, kan een aanvaller willekeurige code uitvoeren. Deze update verhelpt de problemen door Shockwave Player bij te werken naar versie 10.1.1.016. Met dank aan Jan Hacker van ETH Zürich voor het melden van het probleem in Shockwave.

SMB

CVE-ID: CVE-2007-3876

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden.

Beschrijving: Er doet zich een probleem voor met overloop van een stackbuffer in de code die wordt gebruikt door de programma's mount_smbfs en smbutil om opdrachtregelargumenten te parseren waardoor een lokale gebruiker met systeemrechten willekeurige code kan uitvoeren. Deze update verhelpt het probleem door een verbeterde bereikcontrole. Dit probleem is niet van invloed op systemen met Mac OS X 10.5 of nieuwer. Met dank aan Sean Larsson van VeriSign iDefense Labs voor het melden van dit probleem.

Software Update

CVE-ID: CVE-2007-5863

Beschikbaar voor: Mac OS X v10.5.1, Mac OS X Server v10.5.1

Impact: een man-in-the-middle-aanval kan ervoor zorgen dat Software-update willekeurige opdrachten uitvoert.

Beschrijving: Wanneer Software-update controleert op nieuwe updates, verwerkt het een distributiedefinitiebestand dat door de updateserver is verzonden. Door verzoeken aan de updateserver te onderscheppen, kan een aanvaller een kwaadwillig vervaardigd distributiedefinitiebestand aanbieden met de optie 'allow-external-scripts', wat kan leiden tot het willekeurig uitvoeren van opdrachten wanneer een systeem controleert op nieuwe updates. Deze update verhelpt het probleem door de optie 'allow-external-scripts' in Software-update niet toe te staan. Dit probleem is niet van invloed op systemen ouder dan Mac OS X 10.5. Met dank aan Moritz Jodeit voor het melden van dit probleem.

Spin Tracer

CVE-ID: CVE-2007-5860

Beschikbaar voor: Mac OS X v10.5.1, Mac OS X Server v10.5.1

Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden.

Beschrijving: Er is sprake van een onveilige bestandsbewerking bij de verwerking van uitvoerbestanden door SpinTracer waardoor een lokale gebruiker willekeurige code met systeemrechten kan uitvoeren. Deze update verhelpt het probleem door een verbeterde verwerking van uitvoerbestanden. Dit probleem is niet van invloed op systemen ouder dan Mac OS X 10.5. Met dank aan Kevin Finisterre van DigitalMunition voor het melden van dit probleem.

Spotlight

CVE-ID: CVE-2007-5861

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Impact: het verwerken van een kwaadwillig vervaardigd XLS-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

Beschrijving: Er is een probleem met geheugenbeschadiging in Microsoft Office Spotlight Importer. Door een gebruiker ertoe te verleiden een kwaadwillig vervaardigd XLS-bestand te downloaden, kan een aanvaller het programma onverwacht beëindigen of willekeurige code uitvoeren. Deze update verhelpt het probleem door aanvullende validatie van XLS-bestanden uit te voeren. Dit probleem is niet van invloed op systemen met Mac OS X 10.5 of nieuwer.

tcpdump

CVE-ID: CVE-2007-1218, CVE-2007-3798

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Impact: meerdere kwetsbaarheden in tcpdump

Impact: Er is sprake van meerdere kwetsbaarheden in tcpdump, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code. Deze update lost het probleem op door tcpdump bij te werken naar versie 3.9.7. Dit probleem is niet van invloed op systemen met Mac OS X 10.5 of hoger.

XQuery

CVE-ID: CVE-2007-1659, CVE-2007-1660, CVE-2007-1661, CVE-2007-1662, CVE-2007-4766, CVE-2007-4767, CVE-2007-4768

Beschikbaar voor: Mac OS X v10.4.11, Mac OS X Server v10.4.11

Impact: meerdere kwetsbaarheden bij de verwerking van reguliere expressies.

Beschrijving: Er is sprake van meerdere kwetsbaarheden in de PCRE-bibliotheek (Perl Compatible Regular Expressions) die wordt gebruikt door XQuery, waarvan de ernstigste kan leiden tot het uitvoeren van willekeurige code. Deze update lost het probleem op door PCRE bij te werken naar versie 7.3. Meer informatie is beschikbaar op de PCRE-website op http://www.pcre.org/. Dit probleem is niet van invloed op systemen met Mac OS X 10.5 of nieuwer. Met dank aan Tavis Ormandy en Will Drewry van Google Security Team voor het melden van dit probleem.