• IT-Karriere:
  • Services:

Safari 4.0.3 schließt fünf Sicherheitslücken

Fehler erlauben Angreifern, eigenen Code auszuführen

Apple schließt mit dem Update auf Safari 4.0.3 mehrere zum Teil kritische Sicherheitslücken in seinem Browser, sowohl für MacOS X als auch Windows. Einige davon können Angreifer nutzen, um eigenen Code auszuführen oder Daten auszuspähen.

Artikel veröffentlicht am ,

Ein Heap Buffer Overflow beim Zeichnen langer Strings in CoreGraphics (CVE-2009-2468) erlaubt es, Safari unter Windows XP und Vista mit einer speziell präparieren Website zum Absturz zu bringen und dadurch eigenen Code auszuführen.

Stellenmarkt
  1. medac Gesellschaft für klinische Spezialpräparate mbH, Wedel
  2. DAVASO GmbH, Leipzig-Mölkau

Ähnlich wirkt sich ein Fehler in ImageIO (CVE-2009-2188) aus, der ebenfalls nur Safari unter Windows XP und Vista betrifft. Er tritt bei der Behandlung von EXIF-Daten auf und kann so mit einem speziell präparierten Bild ausgenutzt werden.

Ein Fehler beim Parsen von Fließkommazahlen in Webkit (CVE-2009-2195) gefährdet Safari sowohl unter Windows als auch MacOS X. Auch darüber lässt sich der Browser zum Absturz bringen und dabei Code ausführen. Angreifer müssen Opfer dazu nur auf eine entsprechend präparierte Website locken.

Darüber hinaus lassen sich Webkit Informationen entlocken, wenn ein Nutzer eine präparierte Website besucht und beim Betrachten eines präparierten Plug-in-Dialogs auf "Go" klickt (CVE-2009-2200). Safari kann dann dazu gebracht werden, lokal Dateien aufzurufen und Angreifern Zugriff auf diese Daten zu verschaffen.

Alle Versionen betrifft ein Fehler, der es Webseiten erlaubt, sich selbst und andere Webseiten in Safaris Liste von Topsites einzutragen, eine Funktion, die Apple mit Safari 4 eingeführt hat (CVE-2009-2196).

Die Unterstützung internationaler Domains kann missbraucht werden, um ähnlich aussehende Zeichen in URLs unterzubringen (CVE-2009-2199), so dass Nutzer sich auf einer Website wähnen, während sie auf einer anderen surfen. Um dies einzuschränken, aktualisiert Apple Webkits Liste ähnlich aussehender Zeichen.

Informationen zu den mit Safari 4.0.3 beseitigten Sicherheitslücken fasst Apple im Dokument About the security content of Safari 4.0.3 zusammen. Die neue Version des Browsers steht unter apple.com/safari sowie über das Updatesystem von MacOS X oder Safari selbst zum Download bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Rambo: Last Blood für 6,90€ (Blu-ray), Systemsprenger für 6,15€ (DVD), John Wick...
  2. tausende Angebote mit bis zu 40 Prozent Rabatt
  3. ab 195€ neuer Bestpreis auf Geizhals
  4. 38,05€ (Bestpreis!)

frankSe 17. Aug 2009

Im ACID Test, sprich Standard Test hat der neue Safari 4.0 100 Punkte von 100 und der IE...

stpn 12. Aug 2009

"may lead" heisst nicht, dass Abstürze und Code injections wirklich möglich sind. Und in...


Folgen Sie uns
       


Preiswerte Notebooks im Test - Acer vs. Medion vs. Trekstor

Golem.de hat preiswerte Geräte von drei Herstellern getestet. Es treten an: Acer, Medion und Trekstor. Die Bedingung: Der Kaufpreis soll unter 400 Euro liegen.

Preiswerte Notebooks im Test - Acer vs. Medion vs. Trekstor Video aufrufen
Mafia Definitive Edition im Test: Ein Remake, das wir nicht ablehnen können
Mafia Definitive Edition im Test
Ein Remake, das wir nicht ablehnen können

Familie ist für immer - nur welche soll es sein? In Mafia Definitive Edition finden wir die Antwort erneut heraus, anders und doch grandios.
Ein Test von Marc Sauter

  1. Mafia Definitive Edition angespielt Don Salieri wäre stolz
  2. Mafia Definitive Edition Ballerei beim Ausflug aufs Land
  3. Definitive Edition Das erste Mafia wird von Grund auf neu erstellt

Corsair K60 RGB Pro im Test: Teuer trotz Viola
Corsair K60 RGB Pro im Test
Teuer trotz Viola

Corsair verwendet in der K60 Pro RGB als erster Hersteller Cherrys neue preiswerte Viola-Switches. Anders als Cherrys günstige MY-Schalter aus den 80ern hinterlassen diese einen weitaus besseren Eindruck bei uns - der Preis der Tastatur hingegen nicht.
Ein Test von Tobias Költzsch

  1. Corsair K100 RGB im Test Das RGB-Monster mit der Lichtschranke
  2. Corsair Externes Touchdisplay ermöglicht schnelle Einstellungen
  3. Corsair One a100 im Test Ryzen-Wasserturm richtig gemacht

Yakuza und Dirt 5 angespielt: Xbox Series X mit Rotlicht und Rennstrecke
Yakuza und Dirt 5 angespielt
Xbox Series X mit Rotlicht und Rennstrecke

Abenteuer im Rotlichtviertel von Yakuza und Motorsport in Dirt 5: Golem.de konnte zwei Starttitel der Xbox Series X ausprobieren.
Von Peter Steinlechner

  1. Next-Gen GUI der PS5 mit höherer Auflösung als Xbox Series X/S
  2. Xbox Series X Zwei Wochen mit Next-Gen auf dem Schreibtisch
  3. Next-Gen PS5 und neue Xbox wollen Spieleklassiker aufhübschen

    •  /