Original-URL des Artikels: https://www.golem.de/0908/68990.html    Veröffentlicht: 12.08.2009 08:56    Kurz-URL: https://glm.io/68990

Safari 4.0.3 schließt fünf Sicherheitslücken

Fehler erlauben Angreifern, eigenen Code auszuführen

Apple schließt mit dem Update auf Safari 4.0.3 mehrere zum Teil kritische Sicherheitslücken in seinem Browser, sowohl für MacOS X als auch Windows. Einige davon können Angreifer nutzen, um eigenen Code auszuführen oder Daten auszuspähen.

Ein Heap Buffer Overflow beim Zeichnen langer Strings in CoreGraphics (CVE-2009-2468) erlaubt es, Safari unter Windows XP und Vista mit einer speziell präparieren Website zum Absturz zu bringen und dadurch eigenen Code auszuführen.

Ähnlich wirkt sich ein Fehler in ImageIO (CVE-2009-2188) aus, der ebenfalls nur Safari unter Windows XP und Vista betrifft. Er tritt bei der Behandlung von EXIF-Daten auf und kann so mit einem speziell präparierten Bild ausgenutzt werden.

Ein Fehler beim Parsen von Fließkommazahlen in Webkit (CVE-2009-2195) gefährdet Safari sowohl unter Windows als auch MacOS X. Auch darüber lässt sich der Browser zum Absturz bringen und dabei Code ausführen. Angreifer müssen Opfer dazu nur auf eine entsprechend präparierte Website locken.

Darüber hinaus lassen sich Webkit Informationen entlocken, wenn ein Nutzer eine präparierte Website besucht und beim Betrachten eines präparierten Plug-in-Dialogs auf "Go" klickt (CVE-2009-2200). Safari kann dann dazu gebracht werden, lokal Dateien aufzurufen und Angreifern Zugriff auf diese Daten zu verschaffen.

Alle Versionen betrifft ein Fehler, der es Webseiten erlaubt, sich selbst und andere Webseiten in Safaris Liste von Topsites einzutragen, eine Funktion, die Apple mit Safari 4 eingeführt hat (CVE-2009-2196).

Die Unterstützung internationaler Domains kann missbraucht werden, um ähnlich aussehende Zeichen in URLs unterzubringen (CVE-2009-2199), so dass Nutzer sich auf einer Website wähnen, während sie auf einer anderen surfen. Um dies einzuschränken, aktualisiert Apple Webkits Liste ähnlich aussehender Zeichen.

Informationen zu den mit Safari 4.0.3 beseitigten Sicherheitslücken fasst Apple im Dokument About the security content of Safari 4.0.3 zusammen. Die neue Version des Browsers steht unter apple.com/safari sowie über das Updatesystem von MacOS X oder Safari selbst zum Download bereit.  (ji)


Verwandte Artikel:
Safari 4.0.2 beseitigt kritische Sicherheitslücke   
(09.07.2009, https://glm.io/68255 )
Ransomware: Scammer erpressen Besucher von Pornoseiten   
(28.03.2017, https://glm.io/126982 )
Diebstahlgefahr: Siri schaltet mobile Daten bei gesperrtem iPhone aus   
(31.05.2017, https://glm.io/128111 )
HTTPS: Chrome will HTTP Public Key Pinning wieder aufgeben   
(29.10.2017, https://glm.io/130871 )
Apple-Betriebssystem: MacOS High Sierra bringt neues Dateisystem und Videocodec   
(05.06.2017, https://glm.io/128211 )

© 1997–2020 Golem.de, https://www.golem.de/