Abo
  • Services:

Safari 4.0.3 schließt fünf Sicherheitslücken

Fehler erlauben Angreifern, eigenen Code auszuführen

Apple schließt mit dem Update auf Safari 4.0.3 mehrere zum Teil kritische Sicherheitslücken in seinem Browser, sowohl für MacOS X als auch Windows. Einige davon können Angreifer nutzen, um eigenen Code auszuführen oder Daten auszuspähen.

Artikel veröffentlicht am ,

Ein Heap Buffer Overflow beim Zeichnen langer Strings in CoreGraphics (CVE-2009-2468) erlaubt es, Safari unter Windows XP und Vista mit einer speziell präparieren Website zum Absturz zu bringen und dadurch eigenen Code auszuführen.

Stellenmarkt
  1. Eurowings Aviation GmbH, Köln
  2. mobilcom-debitel GmbH, Büdelsdorf

Ähnlich wirkt sich ein Fehler in ImageIO (CVE-2009-2188) aus, der ebenfalls nur Safari unter Windows XP und Vista betrifft. Er tritt bei der Behandlung von EXIF-Daten auf und kann so mit einem speziell präparierten Bild ausgenutzt werden.

Ein Fehler beim Parsen von Fließkommazahlen in Webkit (CVE-2009-2195) gefährdet Safari sowohl unter Windows als auch MacOS X. Auch darüber lässt sich der Browser zum Absturz bringen und dabei Code ausführen. Angreifer müssen Opfer dazu nur auf eine entsprechend präparierte Website locken.

Darüber hinaus lassen sich Webkit Informationen entlocken, wenn ein Nutzer eine präparierte Website besucht und beim Betrachten eines präparierten Plug-in-Dialogs auf "Go" klickt (CVE-2009-2200). Safari kann dann dazu gebracht werden, lokal Dateien aufzurufen und Angreifern Zugriff auf diese Daten zu verschaffen.

Alle Versionen betrifft ein Fehler, der es Webseiten erlaubt, sich selbst und andere Webseiten in Safaris Liste von Topsites einzutragen, eine Funktion, die Apple mit Safari 4 eingeführt hat (CVE-2009-2196).

Die Unterstützung internationaler Domains kann missbraucht werden, um ähnlich aussehende Zeichen in URLs unterzubringen (CVE-2009-2199), so dass Nutzer sich auf einer Website wähnen, während sie auf einer anderen surfen. Um dies einzuschränken, aktualisiert Apple Webkits Liste ähnlich aussehender Zeichen.

Informationen zu den mit Safari 4.0.3 beseitigten Sicherheitslücken fasst Apple im Dokument About the security content of Safari 4.0.3 zusammen. Die neue Version des Browsers steht unter apple.com/safari sowie über das Updatesystem von MacOS X oder Safari selbst zum Download bereit.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de

frankSe 17. Aug 2009

Im ACID Test, sprich Standard Test hat der neue Safari 4.0 100 Punkte von 100 und der IE...

stpn 12. Aug 2009

"may lead" heisst nicht, dass Abstürze und Code injections wirklich möglich sind. Und in...


Folgen Sie uns
       


Odroid Go - Test

Mit dem Odroid Go kann man Doom spielen - aber dank seines ESP32-Mikrocontrollers ist er auch für Hard- und Softwarebastler empfehlenswert.

Odroid Go - Test Video aufrufen
Geforce RTX 2060 im Test: Gute Karte zum gutem Preis mit Speicher-Aber
Geforce RTX 2060 im Test
Gute Karte zum gutem Preis mit Speicher-Aber

Mit der Geforce RTX 2060 hat Nvidia die bisher günstigste Grafikkarte mit Turing-Architektur veröffentlicht. Für 370 Euro erhalten Spieler genug Leistung für 1080p oder 1440p und sogar für Raytracing, bei vollen Schatten- oder Textur-Details wird es aber in seltenen Fällen ruckelig.
Ein Test von Marc Sauter

  1. Grafikkarte Geforce GTX 1660 Ti soll 1.536 Shader haben
  2. Geforce RTX 2060 Founder's Edition kostet 370 Euro
  3. Turing-Architektur Nvidia stellt schnelle Geforce RTX für Notebooks vor

Schwerlastverkehr: Oberleitung - aber richtig!
Schwerlastverkehr
Oberleitung - aber richtig!

Der Schwerlast- und Lieferverkehr soll stärker elektrifiziert werden. Dafür sollen kilometerweise Oberleitungen entstehen. Dass Geld auf diese Weise in LKW statt in die Bahn zu stecken, ist aber völlig irrsinnig!
Ein IMHO von Sebastian Grüner

  1. Softwarefehler Lime-Tretroller werfen Fahrer ab
  2. Hyundai Das Elektroauto soll automatisiert parken und laden
  3. Kalifornien Ab 2029 müssen Stadtbusse elektrisch fahren

IT-Jobs: Ein Jahr als Freelancer
IT-Jobs
Ein Jahr als Freelancer

Sicher träumen nicht wenige festangestellte Entwickler, Programmierer und andere ITler davon, sich selbstständig zu machen. Unser Autor hat vor einem Jahr den Schritt ins Vollzeit-Freelancertum gewagt und bilanziert: Vieles an der Selbstständigkeit ist gut, aber nicht alles. Und: Die Freiheit des Freelancers ist relativ.
Ein Erfahrungsbericht von Marvin Engel

  1. Job-Porträt Die Cobol Cowboys auf wichtiger Mission
  2. IT Frauen, die programmieren und Bier trinken
  3. Software-Entwickler CDU will Online-Weiterbildung à la Netflix

    •  /