47950

Sicherheitslücke in Safari

25.07.2008 | 08:55 Uhr |

Die Behandlung bestimmter Cookies in Safari ermöglicht die Umgehung von Sicherheitsschranken. Dabei verhält sich Safari zwar RFC-konform, aber eben nicht sicher. Ein korrigierendes Update gibt es noch nicht.

Eigentlich sollte man meinen, alles sei bestens - und womöglich sieht Hersteller Apple das auch so. Doch der Web-Browser Safari bis zur aktuellen Version 3.1.2 erlaubt durch sein regelkonformes Verhalten bei Behandlung von Cookies eine Umgehung sicherheitsbedingter Restriktionen. Das Problem entsteht unter anderem dadurch, dass einige Länder wie Großbritannien in der Frühzeit des Internet unterhalb ihrer Top-Level-Domain (etwa .uk) eine zweite Domain-Ebene (.co.uk, .ac.uk) eingezogen haben.

In der durchaus plausiblen Voraussicht, dass brauchbare Domain-Namen schnell knapp werden können und um dem US-Vorbild der Unterteilung nach Verwendungszweck zu folgen, haben Länder wie Großbritannien, Österreich, Australien, Japan oder Südafrika generische Sub-Domains eingeführt. So gibt es entsprechend den internationalen COM-, EDU- oder ORG-Domains in Großbritannien die Domain-Suffixe ".co.uk" (commercial), ".ac.uk" (academic) und ".org.uk" (organisations). Im Gegensatz zu etwa Deutschland kann erst für die dritte Ebene der Name frei gewählt werden, zum Beispiel "nominet.org.uk".

Der RFC 2109 regelt, wie Cookies zur Statusverfolgung von HTTP-Sessions verwendet werden sollen. Aus diesem RFC (Request For Comment, das Regelwerk des Internet besteht daraus) geht hervor, dass Cookies für eine Domain x.y.com auch für z.y.com gelten dürfen
(Regel: zwei Punkte genügen).

Das bedeutet jedoch, das ein Server der Domain joe.co.uk auch mit Cookies der Domain jim.co.uk frei schalten und walten kann. Das mag hierzulande für www.schulze.de und www2.schulze.de in Ordnung sein, weil beide zur Domain schulze.de gehören, aber eben nicht für Länder wie Großbritannien oder Japan sowie für zahlreiche, unterschiedlich zu behandelnde Sonderfälle.

Aufgabe des Browsers ist es daher diese gar nicht so exotischen Sonderfälle im Sinne der Sicherheit des Benutzers und seiner Daten durch eigene Regeln gesondert zu behandeln. Da macht Safari jedoch nicht oder nur unzureichend. Browser-Hersteller wie Mozilla (Firefox, Seamonkey), Microsoft oder Opera haben bereits verschiedene Ansätze realisiert, die jedoch auch nicht in jedem Fall perfekt greifen.

Dies ermöglicht Angriffe, die als "Cross-Site Cooking" bezeichnet werden. Diese Angriffsform ist bereits seit zehn Jahren bekannt und es wurde schon oft kritisiert, dass es Browser-Hersteller offenbar nicht eilig haben diese Schwachstelle zu beseitigen, etwa 2006 von Michal Zalewski . Möglich werden damit etwa Passwortdiebstahl und Identitätsmissbrauch. Besonders problematisch kann das beim Online-Banking und -Shopping werden.

Der dänische Sicherheitsdienstleister Secunia hat eine Sicherheitsempfehlung zu diesem Safari-Bug veröffentlicht und stuft den Fehler als "weniger kritisch" ein. Entdeckt und publik gemacht hat ihn ein Blogger namens Alex, der sich kuza55 nennt.

0 Kommentare zu diesem Artikel
47950