Abo
  • IT-Karriere:

Safari-Browser: Kritik an Apples Sicherheitspolitik

Angreifer können beliebigen Schadcode automatisch verteilen

Kritik erntet das Safari-Team von Apple dafür, dass es zumindest ein gemeldetes Sicherheitsleck im Browser nicht schließen will. Apple stuft dieses nicht als sicherheitsrelevant ein, so dass entsprechende Angriffe weiterhin möglich sind. Ein weiteres Sicherheitsleck soll bald beseitigt werden, einen Termin gibt es aber noch nicht.

Artikel veröffentlicht am ,

Der Sicherheitsexperte Nitesh Dhanjani hatte kürzlich drei Sicherheitslecks in Safari an Apple gemeldet. Eine dieser drei Sicherheitslücken will Apple mit einem Patch beseitigen, die beiden übrigen Sicherheitslecks stuft der Safari-Hersteller nicht als solche ein.

Stellenmarkt
  1. Stadt Nürnberg, Nürnberg
  2. serie a logistics solutions AG, Köln

Da der Safari-Browser bei Downloads keine Rückfrage vornimmt, kann ein Angreifer Schadcode in beliebiger Menge entweder auf den Windows-Desktop oder in das Mac-Download-Verzeichnis ablegen, indem ein Opfer zum Öffnen einer präparierten Webseite verleitet wird. Eine Ausführung dieser Programme ist so zwar nicht möglich, aber dies könnte ein anderes Sicherheitsleck übernehmen. Alternativ kann ein Angreifer darauf setzen, dass der Nutzer den betreffenden Schadcode aus Neugierde selbst startet.

Dieses dokumentierte Sicherheitsleck wird von Apple als nicht sicherheits-relevant eingestuft. Das Sicherheitsteam von Apple will eine optionale Rückfrage vor der Durchführung von Downloads als Verbesserungsvorschlag an die Safari-Entwickler weiterreichen. Derzeit ist aber vollkommen unklar, ob eine solche Rückfrageoption jemals in Safari integriert wird.

Das dritte Sicherheitsleck stuft auch Nitesh Dhanjani eher als Funktionswunsch denn als echtes Sicherheitsloch ein. Und zwar bemängelt er, dass Safari nicht warnt, wenn eine lokale HTML-Datei Client-Side-Scripting ausführt. Der Internet Explorer etwa warnt den Nutzer in solchen Fällen. Eine solche Sicherheitsfunktion wünscht sich Dhanjani auch für den Safari-Browser. Diesbezüglich werde nun geprüft, ob sich eine solche Funktion in Safari integrieren lässt.

Nitesh Dhanjani will die Probleme mit der Sicherheitsgemeinde kommentieren und hat daher seine Erkenntnisse veröffentlicht. Dieses Vorgehen wurde von Apple ausdrücklich gebilligt. Nähere Details zu der hoffentlich bald geschlossenen Sicherheitslücke in Safari will Dhanjani erst veröffentlichen, wenn der Patch erschienen ist.



Anzeige
Hardware-Angebote
  1. 245,90€ + Versand
  2. 259€ + Versand oder kostenlose Marktabholung (aktuell günstigste GTX 1070 Mini)
  3. 83,90€
  4. 469,00€

Mesch 18. Mai 2008

Und Ubuntu konnte gar nicht geknackt werden.

O_o_O_o_O 17. Mai 2008

Noch nie von Holzwürmer gehört? Die fressen gerne den Rahmen von Fenstern.

thorben_neeoder 16. Mai 2008

Und dann schaufeln sie einem diese unsichere Scheiße wenn man nicht aufpasst auch noch...

Blork 16. Mai 2008

Solange du hier rumgeisterst mache ich mir keine Sorgen :-)

Blork 16. Mai 2008

https://www.golem.de/0805/59751.html die einfache Handhabung ? und nicht Ok. Ohne...


Folgen Sie uns
       


Asrock DeskMini A300 - Test

Der DeskMini A300 von Asrock ist ein Mini-PC mit weniger als zwei Litern Volumen. Der kleine Rechner basiert auf einer Platine mit Sockel AM4 und eignet sich daher für Raven-Ridge-Chips wie den Athlon 200GE oder den Ryzen 5 2400G.

Asrock DeskMini A300 - Test Video aufrufen
Mobile-Games-Auslese: Magischer Dieb trifft mogelnden Doktor
Mobile-Games-Auslese
Magischer Dieb trifft mogelnden Doktor

Ein Dieb mit Dolch in Daggerhood, dazu ein (historisch verbürgter) Arzt in Astrologaster sowie wunderschön aufbereitetes Free-to-Play-Mittelalter in Marginalia Hero: Golem.de stellt die spannendsten neuen Mobile Games vor.
Von Rainer Sigl

  1. Mobile-Games-Auslese Rollenspiel-Frühling mit leichten Schusswechseln
  2. Gaming Apple Arcade wird Spiele-Flatrate für iOS und MacOS
  3. Indiegames Stardew Valley kommt auf Android

Vernetztes Fahren: Wer hat uns verraten? Autodaten
Vernetztes Fahren
Wer hat uns verraten? Autodaten

An den Daten vernetzter Autos sind viele Branchen und Firmen interessiert. Die Vorschläge zu Speicherung und Zugriff auf die Daten sind jedoch noch nebulös. Und könnten den Fahrzeughaltern große Probleme bereiten.
Eine Analyse von Friedhelm Greis

  1. Neues Geschäftsfeld Huawei soll an autonomen Autos arbeiten
  2. Taxifahrzeug Volvo baut für Uber Basis eines autonomen Autos
  3. Autonomes Fahren Halter sollen bei Hackerangriffen auf Autos haften

DIN 2137-T2-Layout ausprobiert: Die Tastatur mit dem großen ß
DIN 2137-T2-Layout ausprobiert
Die Tastatur mit dem großen ß

Das ẞ ist schon lange erlaubt, aber nur schwer zu finden. Europatastaturen sollen das erleichtern, sind aber ebenfalls nur schwer zu finden. Wir haben ein Modell von Cherry ausprobiert - und noch viele weitere Sonderzeichen entdeckt.
Von Andreas Sebayang und Tobias Költzsch

  1. Butterfly 3 Apple entschuldigt sich für Problem-Tastatur
  2. Sicherheitslücke Funktastatur nimmt Befehle von Angreifern entgegen
  3. Azio Retro Classic im Test Außergewöhnlicher Tastatur-Koloss aus Kupfer und Leder

    •  /