Abo
  • Services:

Safari-Browser: Kritik an Apples Sicherheitspolitik

Angreifer können beliebigen Schadcode automatisch verteilen

Kritik erntet das Safari-Team von Apple dafür, dass es zumindest ein gemeldetes Sicherheitsleck im Browser nicht schließen will. Apple stuft dieses nicht als sicherheitsrelevant ein, so dass entsprechende Angriffe weiterhin möglich sind. Ein weiteres Sicherheitsleck soll bald beseitigt werden, einen Termin gibt es aber noch nicht.

Artikel veröffentlicht am ,

Der Sicherheitsexperte Nitesh Dhanjani hatte kürzlich drei Sicherheitslecks in Safari an Apple gemeldet. Eine dieser drei Sicherheitslücken will Apple mit einem Patch beseitigen, die beiden übrigen Sicherheitslecks stuft der Safari-Hersteller nicht als solche ein.

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart
  2. CSL Behring GmbH, Marburg, Hattersheim am Main

Da der Safari-Browser bei Downloads keine Rückfrage vornimmt, kann ein Angreifer Schadcode in beliebiger Menge entweder auf den Windows-Desktop oder in das Mac-Download-Verzeichnis ablegen, indem ein Opfer zum Öffnen einer präparierten Webseite verleitet wird. Eine Ausführung dieser Programme ist so zwar nicht möglich, aber dies könnte ein anderes Sicherheitsleck übernehmen. Alternativ kann ein Angreifer darauf setzen, dass der Nutzer den betreffenden Schadcode aus Neugierde selbst startet.

Dieses dokumentierte Sicherheitsleck wird von Apple als nicht sicherheits-relevant eingestuft. Das Sicherheitsteam von Apple will eine optionale Rückfrage vor der Durchführung von Downloads als Verbesserungsvorschlag an die Safari-Entwickler weiterreichen. Derzeit ist aber vollkommen unklar, ob eine solche Rückfrageoption jemals in Safari integriert wird.

Das dritte Sicherheitsleck stuft auch Nitesh Dhanjani eher als Funktionswunsch denn als echtes Sicherheitsloch ein. Und zwar bemängelt er, dass Safari nicht warnt, wenn eine lokale HTML-Datei Client-Side-Scripting ausführt. Der Internet Explorer etwa warnt den Nutzer in solchen Fällen. Eine solche Sicherheitsfunktion wünscht sich Dhanjani auch für den Safari-Browser. Diesbezüglich werde nun geprüft, ob sich eine solche Funktion in Safari integrieren lässt.

Nitesh Dhanjani will die Probleme mit der Sicherheitsgemeinde kommentieren und hat daher seine Erkenntnisse veröffentlicht. Dieses Vorgehen wurde von Apple ausdrücklich gebilligt. Nähere Details zu der hoffentlich bald geschlossenen Sicherheitslücke in Safari will Dhanjani erst veröffentlichen, wenn der Patch erschienen ist.



Anzeige
Spiele-Angebote
  1. 25,49€
  2. 26,95€
  3. 9,95€

Mesch 18. Mai 2008

Und Ubuntu konnte gar nicht geknackt werden.

O_o_O_o_O 17. Mai 2008

Noch nie von Holzwürmer gehört? Die fressen gerne den Rahmen von Fenstern.

thorben_neeoder 16. Mai 2008

Und dann schaufeln sie einem diese unsichere Scheiße wenn man nicht aufpasst auch noch...

Blork 16. Mai 2008

Solange du hier rumgeisterst mache ich mir keine Sorgen :-)

Blork 16. Mai 2008

https://www.golem.de/0805/59751.html die einfache Handhabung ? und nicht Ok. Ohne...


Folgen Sie uns
       


Corsair K70 RGB Mk. 2 und Roccat Vulcan - Fazit

Corsairs K70 RGB Mk. 2 ist seit kurzem mit Cherrys neuen Low-Profile-Switches erhältlich - in einer exklusiven Version mit nur 1 mm kurzen Auslöseweg. Wir haben die Tastatur mit der Vulcan von Roccat verglichen, die mit selbst entwickelten Titan-Switches bestückt ist.

Corsair K70 RGB Mk. 2 und Roccat Vulcan - Fazit Video aufrufen
Autonome Schiffe: Und abends geht der Kapitän nach Hause
Autonome Schiffe
Und abends geht der Kapitän nach Hause

Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
Ein Bericht von Werner Pluta

  1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
  2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
  3. Power Pac Strom aus dem Container für Ozeanriesen

Landwirtschafts-Simulator auf dem C64: Auf zum Pixelernten!
Landwirtschafts-Simulator auf dem C64
Auf zum Pixelernten!

In der Collector's Edition des Landwirtschafts-Simulators 19 ist das Spiel gleich zwei Mal enthalten - einmal für den PC und einmal für den C64. Wir haben die Version für Commodores Heimcomputer auf unserem Redaktions-C64 gespielt, stilecht von der Cartridge geladen.
Ein Test von Tobias Költzsch

  1. Giants Software Ländliche Mods auf Playstation und Xbox

Apple Mac Mini (Late 2018) im Test: Tolles teures Teil - aber für wen?
Apple Mac Mini (Late 2018) im Test
Tolles teures Teil - aber für wen?

Der Mac Mini ist ein gutes Gerät, wenngleich der Preis für die Einstiegsvariante von Apple arg hoch angesetzt wurde und mehr Speicher(platz) viel Geld kostet. Für 4K-Videoschnitt eignet sich der Mac Mini nur selten und generell fragen wir uns, wer ihn kaufen soll.
Ein Test von Marc Sauter

  1. Apple Mac Mini wird grau und schnell
  2. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

    •  /