Abo
  • Services:

Safari 4.0.3 schließt fünf Sicherheitslücken

Fehler erlauben Angreifern, eigenen Code auszuführen

Apple schließt mit dem Update auf Safari 4.0.3 mehrere zum Teil kritische Sicherheitslücken in seinem Browser, sowohl für MacOS X als auch Windows. Einige davon können Angreifer nutzen, um eigenen Code auszuführen oder Daten auszuspähen.

Artikel veröffentlicht am ,

Ein Heap Buffer Overflow beim Zeichnen langer Strings in CoreGraphics (CVE-2009-2468) erlaubt es, Safari unter Windows XP und Vista mit einer speziell präparieren Website zum Absturz zu bringen und dadurch eigenen Code auszuführen.

Stellenmarkt
  1. Tecmata GmbH, Mannheim
  2. 10X Innovation GmbH & Co. KG, Berlin

Ähnlich wirkt sich ein Fehler in ImageIO (CVE-2009-2188) aus, der ebenfalls nur Safari unter Windows XP und Vista betrifft. Er tritt bei der Behandlung von EXIF-Daten auf und kann so mit einem speziell präparierten Bild ausgenutzt werden.

Ein Fehler beim Parsen von Fließkommazahlen in Webkit (CVE-2009-2195) gefährdet Safari sowohl unter Windows als auch MacOS X. Auch darüber lässt sich der Browser zum Absturz bringen und dabei Code ausführen. Angreifer müssen Opfer dazu nur auf eine entsprechend präparierte Website locken.

Darüber hinaus lassen sich Webkit Informationen entlocken, wenn ein Nutzer eine präparierte Website besucht und beim Betrachten eines präparierten Plug-in-Dialogs auf "Go" klickt (CVE-2009-2200). Safari kann dann dazu gebracht werden, lokal Dateien aufzurufen und Angreifern Zugriff auf diese Daten zu verschaffen.

Alle Versionen betrifft ein Fehler, der es Webseiten erlaubt, sich selbst und andere Webseiten in Safaris Liste von Topsites einzutragen, eine Funktion, die Apple mit Safari 4 eingeführt hat (CVE-2009-2196).

Die Unterstützung internationaler Domains kann missbraucht werden, um ähnlich aussehende Zeichen in URLs unterzubringen (CVE-2009-2199), so dass Nutzer sich auf einer Website wähnen, während sie auf einer anderen surfen. Um dies einzuschränken, aktualisiert Apple Webkits Liste ähnlich aussehender Zeichen.

Informationen zu den mit Safari 4.0.3 beseitigten Sicherheitslücken fasst Apple im Dokument About the security content of Safari 4.0.3 zusammen. Die neue Version des Browsers steht unter apple.com/safari sowie über das Updatesystem von MacOS X oder Safari selbst zum Download bereit.



Anzeige
Top-Angebote
  1. (u. a. LG OLED65W8PLA für 4.444€ statt 4.995€ im Vergleich)
  2. (u. a. Razer DeathAdder Elite Destiny 2 Edition für 29€ statt 65,99€ im Vergleich und Razer...
  3. 79,90€ + Versand (Vergleichspreis ca. 103€)
  4. (u. a. WARHAMMER für 11,99€ und WARHAMMER II für 32,99€)

frankSe 17. Aug 2009

Im ACID Test, sprich Standard Test hat der neue Safari 4.0 100 Punkte von 100 und der IE...

stpn 12. Aug 2009

"may lead" heisst nicht, dass Abstürze und Code injections wirklich möglich sind. Und in...


Folgen Sie uns
       


Analyse zum Apple-Event - Golem.de live

Die Golem.de-Redakteure Tobias Költzsch und Michael Wieczorek besprechen die drei neuen iPhones und die Neuerungen bei der Apple Watch 4.

Analyse zum Apple-Event - Golem.de live Video aufrufen
Augmented Reality: Das AR-Fabrikgelände aus dem Smartphone
Augmented Reality
Das AR-Fabrikgelände aus dem Smartphone

Derzeit ist viel von einer Augmented Reality Cloud die Rede. Golem.de hat mit dem Berliner Startup Visualix über den Stand der Technik und künftige Projekte für Unternehmenskunden gesprochen - und darüber, was die Neuerungen für Pokémon Go bedeuten könnten.
Ein Interview von Achim Fehrenbach

  1. Jarvish Motorradhelm bringt Alexa in den Kopf
  2. Patentantrag Apple plant Augmented-Reality in der Windschutzscheibe
  3. Magic Leap Lumin OS Erste Bilder des Betriebssystems für Augmented Reality

Neuer Echo Dot im Test: Amazon kann doch gute Mini-Lautsprecher bauen
Neuer Echo Dot im Test
Amazon kann doch gute Mini-Lautsprecher bauen

Echo Dot steht bisher für muffigen, schlechten Klang. Mit dem neuen Modell zeigt Amazon, dass es doch gute smarte Mini-Lautsprecher mit dem Alexa-Sprachassistenten bauen kann, die sogar gegen die Konkurrenz von Google ankommen.
Ein Test von Ingo Pakalski


    Mate 20 Pro im Hands on: Huawei bringt drei Brennweiten und mehr für 1.000 Euro
    Mate 20 Pro im Hands on
    Huawei bringt drei Brennweiten und mehr für 1.000 Euro

    Huawei hat mit dem Mate 20 Pro seine Dreifachkamera überarbeitet: Der monochrome Sensor ist einer Ultraweitwinkelkamera gewichen. Gleichzeitig bietet das Smartphone zahlreiche technische Extras wie einen Fingerabdrucksensor unter dem Display und einen sehr leistungsfähigen Schnelllader.
    Ein Hands on von Tobias Költzsch

    1. Keine Spionagepanik Regierung wird chinesische 5G-Ausrüster nicht ausschließen
    2. Watch GT Huawei bringt Smartwatch ohne Wear OS auf den Markt
    3. Ascend 910/310 Huaweis AI-Chips sollen Google und Nvidia schlagen

      •  /