• IT-Karriere:
  • Services:

Apple beseitigt Phishing-Trick per Umlaut-Domain in Safari

Sicherheits-Update nur für MacOS X 10.3.8

Ein Sicherheits-Update für MacOS X verändert das Safari-Verhalten bei der Anzeige von "International Domain Names" (IDN), um Phishing-Attacken per IDN unmöglich zu machen. Dabei schlägt Apple einen anderen Weg als das Mozilla-Team ein, um den Surf-Komfort nicht zu stark zu beschneiden. Zudem behebt das Update einige Fehler und Sicherheitslücken in verschiedenen Komponenten von MacOS X.

Artikel veröffentlicht am ,

Im Unterschied zu dem Mozilla-Team und zu Opera entschied sich Apple bei Safari für einen anderen Weg, mögliche Phishing-Angriffe zu verhindern. Während die Mozilla-Applikationen "International Domain Names" (IDN), die auch als Umlaut-Domains bezeichnet werden, nur noch im Punnycode anzeigt, verfährt Opera anders. Opera nutzt eine Liste mit "unsicheren" Domains, die dann im Punnycode angezeigt werden, während ansonsten die IDN-Unterstützung vollständig erhalten bleibt, was dem skandinavischen Web-Browser einen Komfortvorteil verschafft.

Stellenmarkt
  1. BIPSO GmbH, Singen
  2. BASF Digital Solutions GmbH, Ludwigshafen

Auch Apple wollte sich nicht auf die rigorose Variante vom Mozilla-Team einlassen und beschneidet die IDN-Unterstützung in Safari, schaltet sie aber nicht vollständig ab. Bei Safari sorgt eine editierbare Sprachenliste dafür, dass man festlegen kann, welche Sprachen mit IDN-Unterstützung angezeigt werden dürfen, um Phishing-Attacken im Vorfeld zu verhindern. Apple legt dem Browser mit dem aktuellen Sicherheits-Update eine Sprachenliste bei, in der Sprachen aktiviert sind, die keine ähnlichen Schriften verwenden werden wie im lateinischen Alphabet.

Werden URLs in International Domain Names in einer Sprache angezeigt, die nicht in dieser Liste enthalten ist, wechselt Safari in den Punnycode-Modus und zeigt die URL im ASCII-Format. Auslöser dieser Änderungen wurde das Bekanntwerden der Möglichkeit, über International Domain Names Phishing-Angriffe auszuführen, welche ein Opfer kaum bemerkt.

Außerdem wurden zwei Sicherheitslöcher im AFP-Server behoben, die entweder einen Denial-of-Service-Angriff ermöglichten oder das Ausspionieren von Inhalten erlaubten. Ferner hat Apple im Sicherheits-Update einen möglichen Buffer Overflow durch einen fehlerhaften Umgang mit einer Umgebungsvariable unterbunden, der Angreifern das Ausführen von Programmcode erlaubte.

Auch ein Sicherheitsleck im Zusammenspiel mit Verzeichnisrechten soll nun der Vergangenheit angehören. Schließlich wurde der Bluetooth-Setup-Assistent aktualisiert und es wurden Sicherheitslöcher in Cyrus IMAP, Cyrus SASL sowie Mailman beseitigt.

Apple bietet den Sicherheits-Patch für die Desktop- und Server-Versionen von MacOS X 10.3.8 über die Software-Aktualisierung des Betriebssystems oder separat zum Download an.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 49,99€
  2. gratis
  3. (u. a. GTA 5 für 16,99€, Dark Souls 3 - Deluxe Edition für 19,12€, Bioshock: Infinite für 7...
  4. 8,50€

Wer? 23. Mär 2005

Schrieb er und hatte schon wieder einen neuen...


Folgen Sie uns
       


Monkey Island - Titelmusik aller Versionen

Wir haben alle Varianten der Titelmusik im Video zusammengestellt - plus Bonusversion.

Monkey Island - Titelmusik aller Versionen Video aufrufen
    •  /