Safari-Update für Windows schließt Sicherheitslücken

Von Microsoft gemeldeter Fehler wurde beseitigt

Für Apples Webbrowser Safari ist ein Update für die Windows-Fassung erschienen, das insgesamt vier Sicherheitslecks beseitigt. Drei der Sicherheitslöcher können von Angreifern zum Ausführen beliebigen Codes missbraucht werden. Eines davon wurde Anfang Juni 2008 von Microsoft gemeldet.

Alle mit Safari 3.1.2 beseitigten Sicherheitslecks betreffen Windows XP sowie Vista gleichermaßen. Für MacOS X ist keine neue Version erschienen. Das Safari-Update beseitigt das von Microsoft gemeldete Sicherheitsleck, über das Angreifer im schlimmsten Fall Schadcode ausführen können. Bislang legt Safari alle Dateien ohne Rückfrage direkt auf dem Windows-Desktop ab, nun gibt es vorher eine Sicherheitsabfrage. Außerdem werden Dateien nicht mehr standardmäßig auf dem Desktop deponiert, sondern im Fall von Windows Vista im Downloadverzeichnis des Anwenders. Bei Windows XP speichert der Apple-Browser Downloads nun im Dokumentenordner des Nutzers.

Zudem wurde ein weiteres Sicherheitsleck in Safari beseitigt, das im Zusammenspiel mit den Zoneneinstellungen des Internet Explorers steht. Angreifer können darüber beliebigen Code auf fremde Systeme schleusen. Wenn im Internet Explorer 7 die Option "Anwendungen und sichere Dateien starten" innerhalb der Zoneneinstellung aktiviert ist, wurden Anwendungen bislang automatisch nach dem Download durch Safari gestartet. Gleiches galt, wenn eine Webseite in den Zonen "Lokales Intranet" oder "Vertrauenswürdige Seiten" des Internet Explorer 6 eingetragen ist.

Die neue Safari-Version führt in solchen Situationen heruntergeladene Applikationen nicht mehr automatisch aus. Der Browser fragt nun, ob eine Anwendung nach dem Download gestartet werden soll, was in den Einstellungen umgeschaltet werden kann. Ein drittes nun beseitigtes Sicherheitsleck tritt bei der Verarbeitung von JavaScriptcode auf und kann gleichfalls zum Ausführen von Schadcode missbraucht werden. Außerdem kann Safari durch diesen Fehler gezielt zum Absturz gebracht werden.

Das vierte Sicherheitslecks macht sich bemerkbar, wenn Safari Bilder der Formate Bmp oder Gif anzeigt. Ein Fehler beim Zugriff auf den Speicher kann Angreifern den Zugriff auf vertrauliche Daten erlauben, weil er den gesamten Speicherbereich einsehen kann. Der Nutzer würde davon nichts bemerken, denn Gif-Bilder sind in zahlreichen Webseiten enthalten und werden meist automatisch geladen.

Apple bietet Safari 3.1.2 für Windows ab sofort unter anderem in deutscher Sprache zum Download an.