Abo
  • IT-Karriere:

Safari 4.0.3 schließt fünf Sicherheitslücken

Fehler erlauben Angreifern, eigenen Code auszuführen

Apple schließt mit dem Update auf Safari 4.0.3 mehrere zum Teil kritische Sicherheitslücken in seinem Browser, sowohl für MacOS X als auch Windows. Einige davon können Angreifer nutzen, um eigenen Code auszuführen oder Daten auszuspähen.

Artikel veröffentlicht am ,

Ein Heap Buffer Overflow beim Zeichnen langer Strings in CoreGraphics (CVE-2009-2468) erlaubt es, Safari unter Windows XP und Vista mit einer speziell präparieren Website zum Absturz zu bringen und dadurch eigenen Code auszuführen.

Stellenmarkt
  1. Freie und Hansestadt Hamburg Finanzbehörde Hamburg, Hamburg
  2. Applied Materials WEB COATING GmbH, Alzenau

Ähnlich wirkt sich ein Fehler in ImageIO (CVE-2009-2188) aus, der ebenfalls nur Safari unter Windows XP und Vista betrifft. Er tritt bei der Behandlung von EXIF-Daten auf und kann so mit einem speziell präparierten Bild ausgenutzt werden.

Ein Fehler beim Parsen von Fließkommazahlen in Webkit (CVE-2009-2195) gefährdet Safari sowohl unter Windows als auch MacOS X. Auch darüber lässt sich der Browser zum Absturz bringen und dabei Code ausführen. Angreifer müssen Opfer dazu nur auf eine entsprechend präparierte Website locken.

Darüber hinaus lassen sich Webkit Informationen entlocken, wenn ein Nutzer eine präparierte Website besucht und beim Betrachten eines präparierten Plug-in-Dialogs auf "Go" klickt (CVE-2009-2200). Safari kann dann dazu gebracht werden, lokal Dateien aufzurufen und Angreifern Zugriff auf diese Daten zu verschaffen.

Alle Versionen betrifft ein Fehler, der es Webseiten erlaubt, sich selbst und andere Webseiten in Safaris Liste von Topsites einzutragen, eine Funktion, die Apple mit Safari 4 eingeführt hat (CVE-2009-2196).

Die Unterstützung internationaler Domains kann missbraucht werden, um ähnlich aussehende Zeichen in URLs unterzubringen (CVE-2009-2199), so dass Nutzer sich auf einer Website wähnen, während sie auf einer anderen surfen. Um dies einzuschränken, aktualisiert Apple Webkits Liste ähnlich aussehender Zeichen.

Informationen zu den mit Safari 4.0.3 beseitigten Sicherheitslücken fasst Apple im Dokument About the security content of Safari 4.0.3 zusammen. Die neue Version des Browsers steht unter apple.com/safari sowie über das Updatesystem von MacOS X oder Safari selbst zum Download bereit.



Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 5-2600X für 184,90€ oder Sapphire Radeon RX 570 Pulse für 149,00€)
  2. (reduzierte Überstände, Restposten & Co.)
  3. 98,99€ (Bestpreis!)
  4. (u. a. Grafikkarten, Monitore, Mainboards)

frankSe 17. Aug 2009

Im ACID Test, sprich Standard Test hat der neue Safari 4.0 100 Punkte von 100 und der IE...

stpn 12. Aug 2009

"may lead" heisst nicht, dass Abstürze und Code injections wirklich möglich sind. Und in...


Folgen Sie uns
       


Motorola One Vision - Hands on

Das zweite Android-One-Smartphone von Motorola heißt One Vision. Es hat eine 48-Megapixel-Kamera von Samsung, die vor allem auf gute Aufnahmen bei schwachem Licht optimiert wurde. Das Smartphone mit dem 7:3-Display kommt Ende Mai 2019 für 300 Euro auf den Markt.

Motorola One Vision - Hands on Video aufrufen
Kontist, N26, Holvi: Neue Banking-Apps machen gute Angebote für Freelancer
Kontist, N26, Holvi
Neue Banking-Apps machen gute Angebote für Freelancer

Ein mobiles und dazu noch kostenloses Geschäftskonto für Freiberufler versprechen Startups wie Kontist, N26 oder Holvi. Doch sind die Newcomer eine Alternative zu den Freelancer-Konten der großen Filialbanken? Ja, sind sie - mit einer kleinen Einschränkung.
Von Björn König


    Lightyear One: Luxus-Elektroauto fährt auch mit Solarstrom
    Lightyear One
    Luxus-Elektroauto fährt auch mit Solarstrom

    Ein niederländisches Jungunternehmen hat ein ungewöhnliches Fahrzeug entwickelt, das Luxus und Umweltfreundlichkeit kombiniert. Solarzellen auf dem Dach erhöhen die Reichweite um bis zu 220 Kilometer.
    Von Wolfgang Kempkens

    1. EZ-Pod Renault-Miniauto soll Stadtverkehr in Kolonne fahren
    2. Elektromobilität EnBW will weitere 2.000 Schnellladepunkte errichten
    3. Elektromobilität Verkehrsminister will Elektroautos länger und mehr fördern

    Motorola One Vision im Hands on: Smartphone mit 48-Megapixel-Kamera für 300 Euro
    Motorola One Vision im Hands on
    Smartphone mit 48-Megapixel-Kamera für 300 Euro

    Motorola bringt ein weiteres Android-One-Smartphone auf den Markt. Die Neuvorstellung verwendet viel Samsung-Technik und hat ein sehr schmales Display. Die technischen Daten sind für diese Preisklasse vielversprechend.
    Ein Hands on von Ingo Pakalski

    1. Moto G7 Power Lenovos neues Motorola-Smartphone hat einen großen Akku
    2. Smartphones Lenovo leakt neue Moto-G7-Serie

      •  /