Safari-Browser: Kritik an Apples Sicherheitspolitik

Angreifer können beliebigen Schadcode automatisch verteilen

Kritik erntet das Safari-Team von Apple dafür, dass es zumindest ein gemeldetes Sicherheitsleck im Browser nicht schließen will. Apple stuft dieses nicht als sicherheitsrelevant ein, so dass entsprechende Angriffe weiterhin möglich sind. Ein weiteres Sicherheitsleck soll bald beseitigt werden, einen Termin gibt es aber noch nicht.

Artikel veröffentlicht am ,

Der Sicherheitsexperte Nitesh Dhanjani hatte kürzlich drei Sicherheitslecks in Safari an Apple gemeldet. Eine dieser drei Sicherheitslücken will Apple mit einem Patch beseitigen, die beiden übrigen Sicherheitslecks stuft der Safari-Hersteller nicht als solche ein.

Stellenmarkt
  1. Product Owner Buchungsmanagement (m/w/d)
    Haufe Group, Freiburg im Breisgau
  2. SAP-Applikationsexpert*in Forschungsbauten Abteilung Bauangelegenheiten und Liegenschaften
    Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V., München
Detailsuche

Da der Safari-Browser bei Downloads keine Rückfrage vornimmt, kann ein Angreifer Schadcode in beliebiger Menge entweder auf den Windows-Desktop oder in das Mac-Download-Verzeichnis ablegen, indem ein Opfer zum Öffnen einer präparierten Webseite verleitet wird. Eine Ausführung dieser Programme ist so zwar nicht möglich, aber dies könnte ein anderes Sicherheitsleck übernehmen. Alternativ kann ein Angreifer darauf setzen, dass der Nutzer den betreffenden Schadcode aus Neugierde selbst startet.

Dieses dokumentierte Sicherheitsleck wird von Apple als nicht sicherheits-relevant eingestuft. Das Sicherheitsteam von Apple will eine optionale Rückfrage vor der Durchführung von Downloads als Verbesserungsvorschlag an die Safari-Entwickler weiterreichen. Derzeit ist aber vollkommen unklar, ob eine solche Rückfrageoption jemals in Safari integriert wird.

Das dritte Sicherheitsleck stuft auch Nitesh Dhanjani eher als Funktionswunsch denn als echtes Sicherheitsloch ein. Und zwar bemängelt er, dass Safari nicht warnt, wenn eine lokale HTML-Datei Client-Side-Scripting ausführt. Der Internet Explorer etwa warnt den Nutzer in solchen Fällen. Eine solche Sicherheitsfunktion wünscht sich Dhanjani auch für den Safari-Browser. Diesbezüglich werde nun geprüft, ob sich eine solche Funktion in Safari integrieren lässt.

Nitesh Dhanjani will die Probleme mit der Sicherheitsgemeinde kommentieren und hat daher seine Erkenntnisse veröffentlicht. Dieses Vorgehen wurde von Apple ausdrücklich gebilligt. Nähere Details zu der hoffentlich bald geschlossenen Sicherheitslücke in Safari will Dhanjani erst veröffentlichen, wenn der Patch erschienen ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
DSGVO
Amazon bekommt 746 Millionen Euro Datenschutz-Strafe

Die Strafe gegen Amazon ist die wohl größte jemals von einer europäischen Datenschutzbehörde verhängte Summe. Die Kläger freuen sich.

DSGVO: Amazon bekommt 746 Millionen Euro Datenschutz-Strafe
Artikel
  1. Blue Origin: Bezos-Beschwerde zu Mondlandefähre abgelehnt
    Blue Origin
    Bezos-Beschwerde zu Mondlandefähre abgelehnt

    Damit Blue Origin doch noch den Auftrag für eine Mondlandefähre bekommt, hat Jeff Bezos Geld geboten und sich offiziell beschwert. Es half nichts.

  2. Black Widow: Scarlett Johansson verklagt Disney
    Black Widow
    Scarlett Johansson verklagt Disney

    Scarlett Johansson hat wegen des Veröffentlichungsmodells von Black Widow Klage eingereicht. Disney nennt das Verhalten "herzlos".

  3. Luftsicherheit: Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint
    Luftsicherheit
    Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint

    Ein Jugendlicher hat ein Foto einer Waffe per Apples Airdrop an mehrere Flugpassagiere gesendet. Das Flugzeug wurde daraufhin evakuiert.

Mesch 18. Mai 2008

Und Ubuntu konnte gar nicht geknackt werden.

O_o_O_o_O 17. Mai 2008

Noch nie von Holzwürmer gehört? Die fressen gerne den Rahmen von Fenstern.

thorben_neeoder 16. Mai 2008

Und dann schaufeln sie einem diese unsichere Scheiße wenn man nicht aufpasst auch noch...

Blork 16. Mai 2008

Solange du hier rumgeisterst mache ich mir keine Sorgen :-)

Blork 16. Mai 2008

https://www.golem.de/0805/59751.html die einfache Handhabung ? und nicht Ok. Ohne...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Viewsonic XG270QG (WQHD, 165 Hz) 549,99€ • Mega-Marken-Sparen bei MediaMarkt (u. a. Razer) • Saturn: 1 Produkt zahlen, 2 erhalten • Gigabyte X570 AORUS Master 278,98€ + 30€ Cashback • Alternate (u. a. AKRacing Core EX-Wide SE 248,99€) • MMOGA (u. a. Fallout 4 GOTY 9,99€) [Werbung]
    •  /