Abo
  • IT-Karriere:

Safari-Browser: Kritik an Apples Sicherheitspolitik

Angreifer können beliebigen Schadcode automatisch verteilen

Kritik erntet das Safari-Team von Apple dafür, dass es zumindest ein gemeldetes Sicherheitsleck im Browser nicht schließen will. Apple stuft dieses nicht als sicherheitsrelevant ein, so dass entsprechende Angriffe weiterhin möglich sind. Ein weiteres Sicherheitsleck soll bald beseitigt werden, einen Termin gibt es aber noch nicht.

Artikel veröffentlicht am ,

Der Sicherheitsexperte Nitesh Dhanjani hatte kürzlich drei Sicherheitslecks in Safari an Apple gemeldet. Eine dieser drei Sicherheitslücken will Apple mit einem Patch beseitigen, die beiden übrigen Sicherheitslecks stuft der Safari-Hersteller nicht als solche ein.

Stellenmarkt
  1. Amprion GmbH, Pulheim-Brauweiler
  2. Golem Media GmbH, Berlin

Da der Safari-Browser bei Downloads keine Rückfrage vornimmt, kann ein Angreifer Schadcode in beliebiger Menge entweder auf den Windows-Desktop oder in das Mac-Download-Verzeichnis ablegen, indem ein Opfer zum Öffnen einer präparierten Webseite verleitet wird. Eine Ausführung dieser Programme ist so zwar nicht möglich, aber dies könnte ein anderes Sicherheitsleck übernehmen. Alternativ kann ein Angreifer darauf setzen, dass der Nutzer den betreffenden Schadcode aus Neugierde selbst startet.

Dieses dokumentierte Sicherheitsleck wird von Apple als nicht sicherheits-relevant eingestuft. Das Sicherheitsteam von Apple will eine optionale Rückfrage vor der Durchführung von Downloads als Verbesserungsvorschlag an die Safari-Entwickler weiterreichen. Derzeit ist aber vollkommen unklar, ob eine solche Rückfrageoption jemals in Safari integriert wird.

Das dritte Sicherheitsleck stuft auch Nitesh Dhanjani eher als Funktionswunsch denn als echtes Sicherheitsloch ein. Und zwar bemängelt er, dass Safari nicht warnt, wenn eine lokale HTML-Datei Client-Side-Scripting ausführt. Der Internet Explorer etwa warnt den Nutzer in solchen Fällen. Eine solche Sicherheitsfunktion wünscht sich Dhanjani auch für den Safari-Browser. Diesbezüglich werde nun geprüft, ob sich eine solche Funktion in Safari integrieren lässt.

Nitesh Dhanjani will die Probleme mit der Sicherheitsgemeinde kommentieren und hat daher seine Erkenntnisse veröffentlicht. Dieses Vorgehen wurde von Apple ausdrücklich gebilligt. Nähere Details zu der hoffentlich bald geschlossenen Sicherheitslücke in Safari will Dhanjani erst veröffentlichen, wenn der Patch erschienen ist.



Anzeige
Top-Angebote
  1. 99,00€ (Bestpreis!)
  2. 69,90€
  3. 88,00€
  4. GRATIS im Ubisoft-Sale

Mesch 18. Mai 2008

Und Ubuntu konnte gar nicht geknackt werden.

O_o_O_o_O 17. Mai 2008

Noch nie von Holzwürmer gehört? Die fressen gerne den Rahmen von Fenstern.

thorben_neeoder 16. Mai 2008

Und dann schaufeln sie einem diese unsichere Scheiße wenn man nicht aufpasst auch noch...

Blork 16. Mai 2008

Solange du hier rumgeisterst mache ich mir keine Sorgen :-)

Blork 16. Mai 2008

https://www.golem.de/0805/59751.html die einfache Handhabung ? und nicht Ok. Ohne...


Folgen Sie uns
       


Geforce RTX 2070 Super und Geforce RTX 2060 Super - Test

Die Geforce RTX 2070 Super und die Geforce RTX 2060 Super sind Nvidias neue Grafikkarten für 530 Euro sowie 420 Euro. Beide haben 8 GByte Videospeicher und unterstützen Raytracing in Spielen.

Geforce RTX 2070 Super und Geforce RTX 2060 Super - Test Video aufrufen
Indiegames-Rundschau: Epische ASCII-Abenteuer und erlebnishungrige Astronauten
Indiegames-Rundschau
Epische ASCII-Abenteuer und erlebnishungrige Astronauten

In Stone Story RPG erwacht ASCII-Art zum Leben, die Astronauten in Oxygen Not Included erleben tragikomische Slapstick-Abenteuer, dazu kommen Aufbaustrategie plus Action und Sammelkartenspiele: Golem.de stellt neue Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Von Bananen und Astronauten
  2. Indiegames-Rundschau Verloren im Sonnensystem und im Mittelalter
  3. Indiegames-Rundschau Drogen, Schwerter, Roboter-Ritter

WEG-Gesetz: Bundesländer preschen bei Anspruch auf Ladestellen vor
WEG-Gesetz
Bundesländer preschen bei Anspruch auf Ladestellen vor

Können Elektroauto-Besitzer demnächst den Einbau einer Ladestelle in Tiefgaragen verlangen? Zwei Bundesländer haben entsprechende Ergebnisse einer Arbeitsgruppe schon in einem eigenen Gesetzentwurf aufgegriffen.
Eine Analyse von Friedhelm Greis

  1. Startup Rivian plant elektrochromes Glasdach für seine Elektro-SUVs
  2. Elektroautos Mehr als 7.000 neue Ladepunkte in einem Jahr
  3. Elektroautos GM und Volkswagen verabschieden sich vom klassischen Hybrid

Google Maps: Karten brauchen Menschen statt Maschinen
Google Maps
Karten brauchen Menschen statt Maschinen

Wenn Karten nicht mehr von Menschen, sondern allein von Maschinen erstellt werden, erfinden diese U-Bahn-Linien, Hochhäuser im Nationalpark und unmögliche Routen. Ein kurze Liste zu den Grenzen der Automatisierung.
Von Sebastian Grüner

  1. Kartendienst Google bringt AR-Navigation und Reiseinformationen in Maps
  2. Maps Duckduckgo mit Kartendienst von Apple
  3. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich

    •  /