Original-URL des Artikels: https://www.golem.de/0811/63553.html    Veröffentlicht: 14.11.2008 11:03    Kurz-URL: https://glm.io/63553

Safari 3.2 mit Phishing-Filter schließt Sicherheitslücken

Ein Teil der nun geschlossenen Sicherheitslecks ist seit Monaten bekannt

Safari 3.2 steht ab sofort zum Download bereit und beseitigt insgesamt acht als gefährlich eingestufte Sicherheitslücken. Angreifer können sie zur Ausführung von Schadcode missbrauchen. Ein Großteil der Fehler ist bereits seit Monaten bekannt, wird aber erst jetzt korrigiert.

Die Mehrzahl der gefährlichen Sicherheitslecks in Safari betrifft nur die Windows-Variante des Browsers, denn teilweise wurden diese Fehler für die Mac-Plattform bereits korrigiert. Windows-Anwender mussten zwei Monate warten, bis diese bekannten Sicherheitslücken beseitigt wurden. Alle diese Sicherheitslücken können zur Ausführung von Schadcode missbraucht werden und stellen damit ein hohes Risiko dar.

Mit einem Sicherheitspatch für MacOS wurden Anfang Oktober 2008 zwei Fehler korrigiert, die in der Windows-Ausführung von Safari erst jetzt mit einem Update bedacht werden. In dem einen Fall genügt der Aufruf einer schadhaften Webseite, um Opfer eines Angriffs zu werden, im anderen Fall muss ein Opfer zum Öffnen einer manipulierten Bilddatei verleitet werden.

Mit dem Update für die Windows-Fassung von Safari werden drei weitere Sicherheitslücken geschlossen, die seit September 2008 mit einem MacOS-Patch bei Mac-Nutzern bereits behoben wurden. Alle drei Fehler stecken in den Funktionen zur Bildanzeige, so dass Angreifer schadhaften Code ausführen können, indem sie ein Opfer dazu verleiten, eine manipulierte Bilddatei mit Safari zu öffnen.

Ein sechstes als gefährlich eingestuftes Sicherheitsloch, das nur die Windows-Fassung von Safari betrifft, spielt für Mac-Nutzer keine Rolle. Es kann von Angreifern ausgenutzt werden, indem eine schadhafte Bilddatei verbreitet wird, die dann von einem Opfer mit Safari geöffnet werden muss.

Als eine Sicherheitslücke zählt Apple mehrere Sicherheitslöcher in der Safari-Komponente Zlib 1.2.2 von Safari für Windows und macht keine Angaben dazu, welchen Risiken der Anwender deswegen ausgesetzt ist und wie viele Fehler damit beseitigt werden. Bekannt ist nur, dass die neue Safari-Version mit Zlib 1.2.3 versehen ist.

Vier weitere Sicherheitslücken in Safari stecken sowohl in der Windows- als auch in der Mac-Version des Browsers. Zwei der Sicherheitslücken können zum Ausführen von Schadcode missbraucht werden und weisen damit ein hohes Risiko auf. Ein Sicherheitsleck befindet sich im WebCore von Safari, während das zweite Sicherheitsloch in den JavaScript-Funktionen steckt. Safari-Nutzer werden also bereits Opfer eines Angriffs, wenn sie eine schadhafte Webseite öffnen.

Die zwei restlichen Sicherheitslecks in Safari für Windows und MacOS erlauben das Ausspähen vertraulicher Daten. Ein Fehler steckt in den Plug-in-Funktionen des Browsers und gestattet einem Angreifer den Zugriff auf beliebige Daten.

Der zweite Fehler macht sich bemerkbar, wenn die automatische Vervollständigung in Formularfeldern abgeschaltet ist. Dann werden die Felddaten fälschlicherweise im Browser-Cache abgelegt, so dass ein lokal angemeldeter Nutzer Kennwörter, Kontodaten, Kreditkartennummern oder andere vertrauliche Daten auslesen kann.

Als weitere Neuerung bietet Safari 3.2 einen Phishing-Filter, um vor Phishing-Seiten zu warnen, die versuchen, an Konto- oder Anmeldedaten zu gelangen. Außerdem sollen als sicher angesehene Webseiten bessser vom Anwender im Browser erkannt werden.

Safari 3.2 steht ab sofort für Windows und MacOS in deutscher Sprache als Download bereit. Außerdem wird Safari über Apples Updatekomponente verteilt.

Die deutschsprachige Safari-Webseite behauptet zwar, der Browser würde in der Version 3.1.2 vorliegen, tatsächlich erhält der Nutzer aber bereits das Downloadarchiv von Safari 3.2. Da Apple die Programmarchive ohne Versionsnummer verteilt, bemerkt das der Anwender erst nach der Installation der Software und einen Blick in den Infodialog des Browsers.  (ip)


Verwandte Artikel:
Umfangreiches Sicherheitsupdate für MacOS X   
(10.10.2008, https://glm.io/62870 )
Sicherheitsupdate: Apple veröffentlicht MacOS X 10.5.5   
(16.09.2008, https://glm.io/62442 )
Ransomware: Scammer erpressen Besucher von Pornoseiten   
(28.03.2017, https://glm.io/126982 )
Safari-Update für Windows schließt Sicherheitslücken   
(20.06.2008, https://glm.io/60533 )
Apple beseitigt gefährliches DNS-Sicherheitsleck   
(01.08.2008, https://glm.io/61470 )

Links zum Artikel:
Apple: http://www.apple.com/de
Apple (.com): http://www.apple.com
Apple (.com) - Safari: http://www.apple.com/safari
Apple -Safari: http://www.apple.com/de/safari/

© 1997–2020 Golem.de, https://www.golem.de/