Abo
  • Services:

Safari-Browser: Kritik an Apples Sicherheitspolitik

Angreifer können beliebigen Schadcode automatisch verteilen

Kritik erntet das Safari-Team von Apple dafür, dass es zumindest ein gemeldetes Sicherheitsleck im Browser nicht schließen will. Apple stuft dieses nicht als sicherheitsrelevant ein, so dass entsprechende Angriffe weiterhin möglich sind. Ein weiteres Sicherheitsleck soll bald beseitigt werden, einen Termin gibt es aber noch nicht.

Artikel veröffentlicht am ,

Der Sicherheitsexperte Nitesh Dhanjani hatte kürzlich drei Sicherheitslecks in Safari an Apple gemeldet. Eine dieser drei Sicherheitslücken will Apple mit einem Patch beseitigen, die beiden übrigen Sicherheitslecks stuft der Safari-Hersteller nicht als solche ein.

Stellenmarkt
  1. Landeshauptstadt München, München
  2. Autobahn Tank & Rast Gruppe, Bonn

Da der Safari-Browser bei Downloads keine Rückfrage vornimmt, kann ein Angreifer Schadcode in beliebiger Menge entweder auf den Windows-Desktop oder in das Mac-Download-Verzeichnis ablegen, indem ein Opfer zum Öffnen einer präparierten Webseite verleitet wird. Eine Ausführung dieser Programme ist so zwar nicht möglich, aber dies könnte ein anderes Sicherheitsleck übernehmen. Alternativ kann ein Angreifer darauf setzen, dass der Nutzer den betreffenden Schadcode aus Neugierde selbst startet.

Dieses dokumentierte Sicherheitsleck wird von Apple als nicht sicherheits-relevant eingestuft. Das Sicherheitsteam von Apple will eine optionale Rückfrage vor der Durchführung von Downloads als Verbesserungsvorschlag an die Safari-Entwickler weiterreichen. Derzeit ist aber vollkommen unklar, ob eine solche Rückfrageoption jemals in Safari integriert wird.

Das dritte Sicherheitsleck stuft auch Nitesh Dhanjani eher als Funktionswunsch denn als echtes Sicherheitsloch ein. Und zwar bemängelt er, dass Safari nicht warnt, wenn eine lokale HTML-Datei Client-Side-Scripting ausführt. Der Internet Explorer etwa warnt den Nutzer in solchen Fällen. Eine solche Sicherheitsfunktion wünscht sich Dhanjani auch für den Safari-Browser. Diesbezüglich werde nun geprüft, ob sich eine solche Funktion in Safari integrieren lässt.

Nitesh Dhanjani will die Probleme mit der Sicherheitsgemeinde kommentieren und hat daher seine Erkenntnisse veröffentlicht. Dieses Vorgehen wurde von Apple ausdrücklich gebilligt. Nähere Details zu der hoffentlich bald geschlossenen Sicherheitslücke in Safari will Dhanjani erst veröffentlichen, wenn der Patch erschienen ist.



Anzeige
Spiele-Angebote
  1. 1,29€
  2. 9,99€
  3. 6,66€

Mesch 18. Mai 2008

Und Ubuntu konnte gar nicht geknackt werden.

O_o_O_o_O 17. Mai 2008

Noch nie von Holzwürmer gehört? Die fressen gerne den Rahmen von Fenstern.

thorben_neeoder 16. Mai 2008

Und dann schaufeln sie einem diese unsichere Scheiße wenn man nicht aufpasst auch noch...

Blork 16. Mai 2008

Solange du hier rumgeisterst mache ich mir keine Sorgen :-)

Blork 16. Mai 2008

https://www.golem.de/0805/59751.html die einfache Handhabung ? und nicht Ok. Ohne...


Folgen Sie uns
       


Dell Latitude 7390 - Test

Das Latitude 7390 sieht aus wie eine Mischung aus Lenovo Thinkpad und Dell XPS 13. Das merken wir am stabilen Gehäuse und an der sehr guten Tastatur. Aber auch in anderen Punkten kann uns das Gerät überzeugen - eine würdige Alternative für das XPS 13.

Dell Latitude 7390 - Test Video aufrufen
Urheberrrecht: Etappensieg für Leistungsschutzrecht und Uploadfilter
Urheberrrecht
Etappensieg für Leistungsschutzrecht und Uploadfilter

Trotz aller Proteste: Der Rechtsausschuss des Europaparlaments votiert für ein Leistungsschutzrecht und Uploadfilter. Nun könnte das Plenum sich noch dagegenstellen.

  1. Leistungsschutzrecht Nur Einschränkungen oder auch Chancen?
  2. Vor Abstimmung 100 EU-Abgeordnete lehnen Leistungsschutzrecht ab
  3. Urheberrecht EU-Staaten für Leistungsschutzrecht und Uploadfilter

IT-Jobs: Fünf neue Mitarbeiter in fünf Wochen?
IT-Jobs
Fünf neue Mitarbeiter in fünf Wochen?

Startups müssen oft kurzfristig viele Stellen besetzen. Wir waren bei dem Berliner Unternehmen Next Big Thing dabei, als es auf einen Schlag Bewerber für fünf Jobs suchte.
Ein Bericht von Juliane Gringer

  1. Frauen in IT-Berufen Programmierte Klischees
  2. Bitkom Research Höherer Frauenanteil in der deutschen IT-Branche
  3. Recruiting IT-Experten brauchen harte Fakten

CD Projekt Red: So spielt sich Cyberpunk 2077
CD Projekt Red
So spielt sich Cyberpunk 2077

E3 2018 Hacker statt Hexer, Ich-Sicht statt Dritte-Person-Perspektive und Auto statt Pferd: Die Witcher-Entwickler haben ihr neues Großprojekt Cyberpunk 2077 im Detail vorgestellt.
Von Peter Steinlechner


      •  /