Neues zur Safari-Sicherheitslücke

Sicherheitsleck steckt eigentlich in QuickTime

Das gestern gemeldete Sicherheitsleck in Safari steckt eigentlich in QuickTime. Dadurch betrifft das Sicherheitsloch nicht nur Mac-Systeme, sondern auch Windows-Rechner. Als Zwischenlösung muss die Ausführung von Java im Browser deaktiviert werden. Einen Patch gibt es bislang nicht.

Anzeige

Im Rahmen der Sicherheitskonferenz CanSecWest waren die Teilnehmer aufgerufen, ein Mac-System zu hacken und konnten dafür ein MacBook Pro gewinnen. Die beiden Gewinner behaupteten zunächst, dass sie dafür ein Sicherheitsloch in Apples Browser Safari verwendet haben. Nun hat einer der zwei Gewinner per Blog-Eintrag weitere Details zu der Sicherheitslücke veröffentlicht und klargestellt, dass der Fehler nicht in Safari steckt.

Das eigentliche Sicherheitsloch befindet sich in Apples QuickTime und tritt im Zusammenspiel mit der Ausführung eines Java-Applets auf. Dadurch findet sich das Sicherheitsloch auch in der QuickTime-Version für die Windows-Plattform. Jeder Java-fähige Browser soll für einen Angriff anfällig sein, sofern QuickTime in einer nicht korrigierten Version installiert ist. Somit kann das Sicherheitsleck außer mit Safari auch mit Firefox ausgenutzt werden.

Ein Angreifer muss sein Opfer lediglich dazu bringen, eine entsprechend präparierte Webseite mit Safari oder Firefox zu öffnen. Wenn dann QuickTime installiert und Java aktiviert ist, lässt sich Programmcode einschleusen, der dann ausgeführt werden kann. Bislang gibt es keinen Patch zur Abhilfe. Als Zwischenlösung kann Java im Browser deaktiviert werden, um sich vor solchen Angriffen zu schützen.

Kommentarübersicht
Re: besser als heise
Aua 25. Apr 2007

Selten so gelacht - *für JAVA gibt es sinnvolle Anwendungen* - ja für cracker Du n00b!

Re: besser als heise
Stalkingwolf 24. Apr 2007

Unter Windows sicherlich. Weil wenn man das Gastsystem schon nicht braucht ...

Re: besser als heise
Graf Porno 24. Apr 2007

Ja gut, dann ist es kein Loch im Safari, sondern in Quicktime. Was nun besser ist für...

Re: Quicktime deinstallieren!
:-) 24. Apr 2007

Da es hier so lustig zugeht :-) Wie wärs mit ner weiteren Abstraktion: "doppelwandiger...

Re: Bei den armen Mäccies ist das ganze ein
caymanS 24. Apr 2007

Es gibt genügend Software die darauf basiert, Adobe Premiere z.B. auch. Wenn man das...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. JAVA-Entwickler/in
    über Schlagheck Radtke Oldiges Executive Consultants GmbH, Süddeutschland
  2. Testmanager / Teamleiter für Verbundtests von Werkzeugketten (m/w)
    dSPACE GmbH, Paderborn
  3. Senior Web Developer (m/w)
    Zieltraffic AG, München
  4. Java-Entwickler (m/w) - Bereich ERP
    HALTEC Hallensysteme GmbH, Korntal-Münchingen

 

Detailsuche

Folgen Sie uns
       
Videos
Joseph Weizenbaum - Zwanghafte Programmierer Joseph Weizenbaum - Zwanghafte Programmierer
Meistgelesen
  1. Radeon HD 7770 und 7750 im Test

    Die Grafikkarte mit 1 GHz für 159 Euro
  2. Youporn-Betreiber

    Hacker will 350.000 Datensätze bei Pornoseite erbeutet haben
  3. Smartphone-App

    Remove löscht störende Menschen im Bild
  4. Google

    Wir haben den größten DNS-Dienst
  5. Nortel Networks

    Nortel war fast zehn Jahre lang gehackt
Meistkommentiert
  1. Lumia-Smartphones: Nokias Offensive auch in Deutschland gescheitert

    Kommentare: 270 | letzter Beitrag 13.02. 23:28

  2. Paypal: Nutzern von Kino.to drohen Strafverfahren

    Kommentare: 202 | letzter Beitrag 10:20 Uhr

  3. Gerüchte: Apple will alle Notebooks dünner machen

    Kommentare: 194 | letzter Beitrag 14.02. 13:50

  4. Klage gegen Samsung: Apple will Verkauf des Galaxy Nexus verhindern

    Kommentare: 117 | letzter Beitrag 14.02. 12:39

  5. Abmahnabzocke: Maximal 100 Euro Abmahngebühr für Urheberrechtsverstöße

    Kommentare: 106 | letzter Beitrag 10:30 Uhr

Mehr

Ticker
  1. Sicherheitslücke

    Groupware Horde enthält Backdoor

  2. Zynga

    2,9 Millionen zahlende Kunden bei Castleville & Co.

  3. Cloud-Smartphone

    Acer bestätigt Cloud Mobile mit Android 4

  4. Ron was wrong, Whit is right

    RSA-Schlüssel unsicherer als gedacht

  5. Bioware

    Kurz die Welt retten in der Demo zu Mass Effect 3

  6. Adobe

    Photoshop CS6 mit Content-Aware Move

  7. Google

    Wir haben den größten DNS-Dienst

  8. Lensbaby

    Teleobjektiv mit absichtlicher Unschärfe

  9. Smartphone-App

    Remove löscht störende Menschen im Bild

  10. Radeon HD 7770 und 7750 im Test

    Die Grafikkarte mit 1 GHz für 159 Euro

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Libreoffice
Document Foundation: Libreoffice 3.5 ist fertig
Document Foundation
Libreoffice 3.5 ist fertig

Die Document Foundation hat Libreoffice 3.5 veröffentlicht. Alle Komponenten der Office-Software haben Verbesserungen erhalten, mit denen sich die jeweiligen Anwendungen besser bedienen lassen sollen.

  1. Freies Office IBM wird Apache Openoffice unterstützen
Mozilla
Watchdog: Mozilla visualisiert Wiederverwendung von Passwörtern
Watchdog
Mozilla visualisiert Wiederverwendung von Passwörtern

Die Mozilla Labs haben im Rahmen ihres Projekts Watchdog den "Password Reuse Visualizer" veröffentlicht. Die Firefox-Erweiterung zeigt, welche Passwörter der Nutzer wo und wie oft verwendet.

  1. Open-Source-Lizenzen Mozilla Public License 2.0 erheblich vereinfacht
  2. David Ascher "Trefft das neue Mozilla!"
  3. Chrome-Entwickler Mozilla ist Googles Partner, nicht Googles Konkurrent
Android-Handy
HTC Velocity 4G: Android-Smartphone mit LTE und 4,5-Zoll-Touchscreen
HTC Velocity 4G
Android-Smartphone mit LTE und 4,5-Zoll-Touchscreen

Im April 2012 wollen Vodafone und HTC gemeinsam das Velocity 4G als erstes LTE-Smartphone für Deutschland auf den Markt bringen. Das Android-Smartphone hat einen 4,5 Zoll großen Touchscreen und eine 8-Megapixel-Kamera.

  1. Cloud Mobile Acer plant Smartphone mit Android 4.1 und eigener Cloud
  2. Motorola Defy Mini Android-Smartphone mit IP67-Zertifizierung kommt im März
  3. Android-Smartphone Motorola bringt Motoluxe erst im März für 280 Euro
Forumsbeiträge »
  1. Radeon HD 7770 und 7750 im Test Die Grafikkarte mit 1 GHz für 159 Euro

    Halb OT: Ich will aber gerne eine LowPro-Graka

    Dadie | 10:36

  2. Abmahnabzocke Maximal 100 Euro Abmahngebühr für Urheberrechtsverstöße

    Re: Gebühr runter -> Anzahl Abmahungen rauf

    AsoraX | 10:35

  3. Document Foundation Libreoffice 3.5 ist fertig

    Re: Sorry, aber...

    Rabenkind | 10:34

  4. Pegatron Übt Apple Druck auf OEM-Hersteller von Ultrabooks aus?

    Re: Quellenangaben ...

    rabatz | 10:33

  5. Zynga 2,9 Millionen zahlende Kunden bei Castleville & Co.

    dazu gibts einen netten Artikel aus der Zeit

    sssssssssssssss... | 10:33

Ticker »
  1. Sicherheitslücke Groupware Horde enthält Backdoor

    10:36

  2. Zynga 2,9 Millionen zahlende Kunden bei Castleville & Co.

    10:29

  3. Cloud-Smartphone Acer bestätigt Cloud Mobile mit Android 4

    10:15

  4. Ron was wrong, Whit is right RSA-Schlüssel unsicherer als gedacht

    10:11

  5. Bioware Kurz die Welt retten in der Demo zu Mass Effect 3

    09:29

  6. Adobe Photoshop CS6 mit Content-Aware Move

    08:55

  7. Google Wir haben den größten DNS-Dienst

    08:33

  8. Lensbaby Teleobjektiv mit absichtlicher Unschärfe

    08:17

Zum Artikel