Abo
  • Services:

Apple beseitigt Phishing-Trick per Umlaut-Domain in Safari

Sicherheits-Update nur für MacOS X 10.3.8

Ein Sicherheits-Update für MacOS X verändert das Safari-Verhalten bei der Anzeige von "International Domain Names" (IDN), um Phishing-Attacken per IDN unmöglich zu machen. Dabei schlägt Apple einen anderen Weg als das Mozilla-Team ein, um den Surf-Komfort nicht zu stark zu beschneiden. Zudem behebt das Update einige Fehler und Sicherheitslücken in verschiedenen Komponenten von MacOS X.

Artikel veröffentlicht am ,

Im Unterschied zu dem Mozilla-Team und zu Opera entschied sich Apple bei Safari für einen anderen Weg, mögliche Phishing-Angriffe zu verhindern. Während die Mozilla-Applikationen "International Domain Names" (IDN), die auch als Umlaut-Domains bezeichnet werden, nur noch im Punnycode anzeigt, verfährt Opera anders. Opera nutzt eine Liste mit "unsicheren" Domains, die dann im Punnycode angezeigt werden, während ansonsten die IDN-Unterstützung vollständig erhalten bleibt, was dem skandinavischen Web-Browser einen Komfortvorteil verschafft.

Stellenmarkt
  1. NCP engineering GmbH, Nürnberg
  2. Deutsche Energie-Agentur GmbH (dena), Berlin

Auch Apple wollte sich nicht auf die rigorose Variante vom Mozilla-Team einlassen und beschneidet die IDN-Unterstützung in Safari, schaltet sie aber nicht vollständig ab. Bei Safari sorgt eine editierbare Sprachenliste dafür, dass man festlegen kann, welche Sprachen mit IDN-Unterstützung angezeigt werden dürfen, um Phishing-Attacken im Vorfeld zu verhindern. Apple legt dem Browser mit dem aktuellen Sicherheits-Update eine Sprachenliste bei, in der Sprachen aktiviert sind, die keine ähnlichen Schriften verwenden werden wie im lateinischen Alphabet.

Werden URLs in International Domain Names in einer Sprache angezeigt, die nicht in dieser Liste enthalten ist, wechselt Safari in den Punnycode-Modus und zeigt die URL im ASCII-Format. Auslöser dieser Änderungen wurde das Bekanntwerden der Möglichkeit, über International Domain Names Phishing-Angriffe auszuführen, welche ein Opfer kaum bemerkt.

Außerdem wurden zwei Sicherheitslöcher im AFP-Server behoben, die entweder einen Denial-of-Service-Angriff ermöglichten oder das Ausspionieren von Inhalten erlaubten. Ferner hat Apple im Sicherheits-Update einen möglichen Buffer Overflow durch einen fehlerhaften Umgang mit einer Umgebungsvariable unterbunden, der Angreifern das Ausführen von Programmcode erlaubte.

Auch ein Sicherheitsleck im Zusammenspiel mit Verzeichnisrechten soll nun der Vergangenheit angehören. Schließlich wurde der Bluetooth-Setup-Assistent aktualisiert und es wurden Sicherheitslöcher in Cyrus IMAP, Cyrus SASL sowie Mailman beseitigt.

Apple bietet den Sicherheits-Patch für die Desktop- und Server-Versionen von MacOS X 10.3.8 über die Software-Aktualisierung des Betriebssystems oder separat zum Download an.



Anzeige
Hardware-Angebote
  1. ab 225€
  2. (u. a. 32 GB 6,98€, 128 GB 23,58€)

Wer? 23. Mär 2005

Schrieb er und hatte schon wieder einen neuen...


Folgen Sie uns
       


Cinebench R20 auf Threadripper 2950X ausprobiert

Cinebench R20 soll mit bis zu 256 Threads umgehen können.

Cinebench R20 auf Threadripper 2950X ausprobiert Video aufrufen
Geforce GTX 1660 im Test: Für 230 Euro eine faire Sache
Geforce GTX 1660 im Test
Für 230 Euro eine faire Sache

Die Geforce GTX 1660 - ohne Ti am Ende - rechnet so flott wie AMDs Radeon RX 590 und kostet in etwa das Gleiche. Der klare Vorteil der Nvidia-Grafikkarte ist die drastisch geringere Leistungsaufnahme.

  1. EC2 G4 AWS nutzt Nvidias Tesla T4 für Inferencing-Cloud
  2. Zotac Geforce GTX 1660 Ti im Test Gute 1440p-Karte für unter 300 Euro
  3. Nvidia Turing OBS unterstützt Encoder der Geforce RTX

Flugzeugabsturz: Boeing 737 MAX geht wegen Softwarefehler außer Betrieb
Flugzeugabsturz
Boeing 737 MAX geht wegen Softwarefehler außer Betrieb

Wegen eines bekannten Softwarefehlers wird der Flugbetrieb für Boeings neustes Flugzeug fast weltweit eingestellt - Die letzte Ausnahme war: die USA. Der Umgang der amerikanischen Flugaufsichtsbehörde mit den Problemen des neuen Flugzeugs erscheint zweifelhaft.

  1. Boeing Rollout der neuen 777X in wenigen Tagen
  2. Boeing 747 Der Jumbo Jet wird 50 Jahre alt
  3. Lufttaxi Uber sucht eine weitere Stadt für Uber-Air-Test

Fido-Sticks im Test: Endlich schlechte Passwörter
Fido-Sticks im Test
Endlich schlechte Passwörter

Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.
Ein Test von Moritz Tremmel

  1. Datenschutz Facebook speicherte Millionen Passwörter im Klartext
  2. E-Mail-Marketing Datenbank mit 800 Millionen E-Mail-Adressen online
  3. Webauthn Standard für passwortloses Anmelden verabschiedet

    •  /