154828

Safari erlaubt Festplattenzugriff

14.01.2009 | 15:34 Uhr |

In Apple Safari ist eine Sicherheitslücke entdeckt worden, die es ermöglichen soll Daten von der lokalen Festplatte des Benutzers zu lesen. Betroffen sind sowohl Mac- als auch Windows-Versionen von Safari.

Der Web-Browser Safari aus dem Hause Apple enthält nach Angaben eines Sicherheitsforschers eine Schwachstelle, die das Ausspionieren von Daten erlaubt. Eine speziell präparierte Web-Seite kann Dateien auf der lokalen Festplatte auslesen und erhält auf diese Weise Zugriff auf dort gespeicherte Passwörter, Mails oder Cookies. Betroffen sind Benutzer von Mac OS X 10.5 (Leopard) und Windows.

Der Entdecker der Sicherheitslücke, Brian Mastenbrook , macht keine detaillierten Angaben über die Art der Schwachstelle. Er gibt lediglich an, die Anfälligkeit stehe in Zusammenhang mit dem Umgang von Safari mit RSS-Feeds. Er habe seine Entdeckung an Apple gemeldet und Apple habe die Sicherheitslücke bestätigt. Frühere Versionen von Mac OS X sollen nicht anfällig sein.

Für Windows-Anwender, die Safari installiert haben, besteht solange keine Gefahr, wie sie Safari nicht benutzen. Anders unter Mac OS X 10.5: da Safari hier die Standardanwendung für RSS-Feeds ist, kann ein Angreifer die Schwachstelle ausnutzen, auch wenn der Benutzer gar keine RSS-Feeds verwendet. Die Festlegung einer anderen Standardanwendung mit Bordmitteln hilft (entgegen Mastenbrooks ursprünglichem Rat) auch nicht, da die Verknüpfung von RSS-Feeds mit Safari dabei nicht vollständig gelöst wird. Mastenbrook beschreibt einen aktualisierten Workaround für Leopardenbändiger.

Nach Angabe von Mastenbrook hat Apple zwar die Anfälligkeit bestätigt, jedoch noch keinen Termin für die Bereitstellung eines Sicherheits-Updates genannt. Vermutlich wird Apple, wie schon früher, ähnlich verfahren wie Microsoft und einen Patch mit dem nächsten größeren Sicherheits-Update für Mac OS X ausliefern. Dann dürfte es auch eine neue Windows-Version von Safari geben.

0 Kommentare zu diesem Artikel
154828