Apple Patch Day
Drei Sicherheitslücken in Safari gestopft
Apple hat in dieser Woche ebenfalls Sicherheits-Updates bereit gestellt. Das Security Update 2009-002 für Mac OS X enthält auch die neue Safari-Version 3.2.3. Die stopft Sicherheitslöcher und ist auch für Windows erhältlich.
Die neue Version 3.2.3 von Apple Safari beseitigt drei als kritisch einzustufende Sicherheitslücken der Vorversionen. Sie ist sowohl für Mac OS X als auch für Windows erhältlich. Mac-Benutzer installieren das umfangreiche Sicherheits-Update 2009-002, Windows-Anwender können Safari 3.2.3 separat herunter laden. Apples Sicherheitspaket für Mac OS X beseitigt insgesamt 67 Schwachstellen und steckt auch im Upgrade für Mac OS X 10.5 ("Leopard") auf Version 10.5.7.
Safari-Versionen vor 3.2.3 enthalten drei mit diesem Update gestopfte Sicherheitslücken. Eine davon steckt in der Programmbibliothek "libxml". Eine fehlerhafte Verarbeitung von langen Namen kann zu einem Speicherüberlauf führen. Ein Angreifer könnte eine speziell präparierte Web-Seite anbieten, die diese Schwachstelle ausnutzt, um einen Programmabsturz zu provozieren. Dabei kann beliebiger Code, etwa Malware, eingeschleust und ausgeführt werden.
Eine zweite Schwachstelle entsteht aus dem fehlerhaften Umgang von Safari mit präparierten "feed:"-URLs. Wird eine solche URL mit einer anfälligen Safari-Version besucht, kann beliebiger Javascript-Code ausgeführt werden. Mac OS X vor Version 10.5 ist von diese Anfälligkeit nicht betroffen.
Die dritte Sicherheitslücke hat Safari von WebKit geerbt, auf dem neben Safari wie auch Google Chrome aufbaut. WebKit hat Probleme im Umgang mit SVGList-Objekten (Vektorgrafiken). Diese können beim Besuch eine präparierten Website ausgenutzt werden, um für Durcheinander im Speicher zu sorgen. Dadurch kann beliebiger Code eingeschleust und ausgeführt werden.
Dass die zuletzt genannte Lücke ausnutzbar ist, hat ihr Entdecker bereits im März auf der Sicherheitskonferenz CanSecWest demonstriert. Der in diesem Zusammenhang nur als Nils auftretende deutsche Informatiker hat damit ein Preisgeld gewonnen.
Das Apple Security Update 2009-002 ist einmal mehr recht umfangreich - je nach Version bis zu mehreren hundert MB.. Es beseitigt insgesamt 67 Sicherheitslücken. Betroffen sind zahlreiche Komponenten von Apache über Flash Player und PHP bis X11. Es ist für Leopard als Update auf Version 10.5.7 erhältlich sowie für Tiger (Mac OS X 10.4) als separater Download.
Alle genannten Aktualisierungen sind auf Apples Web-Seite mit Support-Downloads erhältlich oder können über die integrierten Update-Funktionen von Mac OS X beziehungsweise Safari für Windows bezogen werden.
