Abo
  • Services:
Anzeige

Safari 4.0.3 schließt fünf Sicherheitslücken

Fehler erlauben Angreifern, eigenen Code auszuführen

Apple schließt mit dem Update auf Safari 4.0.3 mehrere zum Teil kritische Sicherheitslücken in seinem Browser, sowohl für MacOS X als auch Windows. Einige davon können Angreifer nutzen, um eigenen Code auszuführen oder Daten auszuspähen.

Ein Heap Buffer Overflow beim Zeichnen langer Strings in CoreGraphics (CVE-2009-2468) erlaubt es, Safari unter Windows XP und Vista mit einer speziell präparieren Website zum Absturz zu bringen und dadurch eigenen Code auszuführen.

Ähnlich wirkt sich ein Fehler in ImageIO (CVE-2009-2188) aus, der ebenfalls nur Safari unter Windows XP und Vista betrifft. Er tritt bei der Behandlung von EXIF-Daten auf und kann so mit einem speziell präparierten Bild ausgenutzt werden.

Anzeige

Ein Fehler beim Parsen von Fließkommazahlen in Webkit (CVE-2009-2195) gefährdet Safari sowohl unter Windows als auch MacOS X. Auch darüber lässt sich der Browser zum Absturz bringen und dabei Code ausführen. Angreifer müssen Opfer dazu nur auf eine entsprechend präparierte Website locken.

Darüber hinaus lassen sich Webkit Informationen entlocken, wenn ein Nutzer eine präparierte Website besucht und beim Betrachten eines präparierten Plug-in-Dialogs auf "Go" klickt (CVE-2009-2200). Safari kann dann dazu gebracht werden, lokal Dateien aufzurufen und Angreifern Zugriff auf diese Daten zu verschaffen.

Alle Versionen betrifft ein Fehler, der es Webseiten erlaubt, sich selbst und andere Webseiten in Safaris Liste von Topsites einzutragen, eine Funktion, die Apple mit Safari 4 eingeführt hat (CVE-2009-2196).

Die Unterstützung internationaler Domains kann missbraucht werden, um ähnlich aussehende Zeichen in URLs unterzubringen (CVE-2009-2199), so dass Nutzer sich auf einer Website wähnen, während sie auf einer anderen surfen. Um dies einzuschränken, aktualisiert Apple Webkits Liste ähnlich aussehender Zeichen.

Informationen zu den mit Safari 4.0.3 beseitigten Sicherheitslücken fasst Apple im Dokument About the security content of Safari 4.0.3 zusammen. Die neue Version des Browsers steht unter apple.com/safari sowie über das Updatesystem von MacOS X oder Safari selbst zum Download bereit.


eye home zur Startseite
frankSe 17. Aug 2009

Im ACID Test, sprich Standard Test hat der neue Safari 4.0 100 Punkte von 100 und der IE...

stpn 12. Aug 2009

"may lead" heisst nicht, dass Abstürze und Code injections wirklich möglich sind. Und in...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Schwieberdingen
  2. MKB Mittelrheinische Bank GmbH, Koblenz
  3. Schenck Process Europe GmbH, Darmstadt
  4. Wilken Neutrasoft GmbH, Greven


Anzeige
Top-Angebote
  1. 79€
  2. 29,97€
  3. (u. a. NBA 2K18 PS4/XBO 29€)

Folgen Sie uns
       


  1. Facebook

    Nutzer sollen Vertrauenswürdigkeit von Newsquellen bewerten

  2. Notebook-Grafik

    Nvidia hat eine Geforce GTX 1050 (Ti) mit Max-Q

  3. Gemini Lake

    Asrock und Gigabyte bringen Atom-Boards

  4. Eni HPC4

    Italienischer Supercomputer weltweit einer der schnellsten

  5. US-Wahl 2016

    Twitter findet weitere russische Manipulationskonten

  6. Die Woche im Video

    Das muss doch einfach schneller gehen!

  7. Breko

    Waipu TV gibt es jetzt für alle Netzbetreiber

  8. Magento

    Kreditkartendaten von bis zu 40.000 Oneplus-Käufern kopiert

  9. Games

    US-Spielemarkt wächst 2017 zweistellig

  10. Boeing und SpaceX

    ISS bald ohne US-Astronauten?



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Snet in Kuba: Ein Internet mit Billigroutern und ohne Porno
Snet in Kuba
Ein Internet mit Billigroutern und ohne Porno
  1. Crayfis Smartphones sollen kosmische Strahlung erfassen
  2. Internet Unternehmen in Deutschland weiter mittelmäßig versorgt
  3. Überwachungstechnik EU-Parlament fordert schärfere Ausfuhrregeln

Vorschau Kinofilme 2018: Lara, Han und Player One
Vorschau Kinofilme 2018
Lara, Han und Player One
  1. Kinofilme 2017 Rückkehr der Replikanten und Triumph der Nasa-Frauen
  2. Star Wars - Die letzten Jedi Viel Luke und zu viel Unfug

EU-Netzpolitik: Mit vollen Hosen in die App-ocalypse
EU-Netzpolitik
Mit vollen Hosen in die App-ocalypse

  1. Re: Warum immer solche Namen?

    Arkarit | 18:18

  2. Re: Warum beteiligt sich Seite mit "IT-News für...

    HorkheimerAnders | 18:17

  3. Re: Wenn man sich anschaut, wie grade radikale...

    SelfEsteem | 18:17

  4. Re: Supercomputer sind wie Beton - es kommt drauf...

    HorkheimerAnders | 18:15

  5. Re: "Überraschung"

    SelfEsteem | 18:01


  1. 14:35

  2. 14:00

  3. 13:30

  4. 12:57

  5. 12:26

  6. 09:02

  7. 18:53

  8. 17:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel