19326

Safari erlaubt via Firefox weiterhin Attacken

23.06.2008 | 12:42 Uhr |

Apple hatte Ende letzter Woche den Browser Safari in einer neuen Verson veröffentlicht und damit auch mehrere Sicherheitslücken gestopft. Darunter auch die so genannte Bombenteppich-Schwachstelle. Nach Ansicht des Microsoft-Sicherheitsexperten Billy Rios, ist es Apple aber noch nicht ganz gelungen, die Gefahr zu bannen.

Wie Billy Rios in seinem Blog berichtet , kennt er weiterhin Methoden, um mittels einer Lücke in Safari und in Verbindung mit Firefox Dateien zu stehlen, die lokal bei den Anwendern abgelegt sind. Genauere Details will er allerdings nicht verraten. Er habe sowohl Apple als auch Mozilla bereits informiert, so dass beide Hersteller die Gelegenheit haben, die Lücken in ihren Produkten zu stopfen.

Billy Rios hat aber auch eine gute Nachricht: Die ihm bekannte Methoden (insgesamt sollen es drei sein) funktioniere problemlos mit Firefox 2. In Firefox 3.0 seien dagegen die Sicherheitsfunktionen verbessert worden, so dass hier eine etwas geringere Gefahr drohe. Dennoch müsse Mozilla bei beiden Versionen nachbessern. "Mozilla arbeitet an dem Fall und sie haben ein schnell reagierendes Team, so dass ich sicher bin, dass wir schon bald einen Fix sehen werden", schreibt Rios.

Rios bezeichnet diesen Typ von Sicherheitslücken als ein "perfektes Beispiel" dafür, wie Software und Systeme, die genutzt werden, Teil eines großen Ökosystems sind. Verschiedene Teile dieses Ökosystems seien miteinander verflochten und auch voneinander abhängig. "Eine kleine Sicherheitslücke oder gar ein lästiges Verhalten einer Software kann das Verhalten einer zweiten Software verändern, was wiederum dazu führt,dass auch eine dritte Software betroffen ist, die ihre Sicherheitsentscheidungen von der zweiten Software abhängig macht", so Rios. Je größer das Ökosystem werde, desto mehr vergrößere sich die Angriffsfläche.

Rios räumt ein, dass man bei Apple die Safari-Lücke womöglich nicht als hoch-riskant angesehen habe, weil hier nur das Produkt isoliert betrachtet worden sei. Nur in Verbindung mit anderen Produkten, die Apple nicht zu verantworten hat, sei die Lücke gefährlich geworden. "Das bringt uns zu einer wichtigen Frage. In der realen Welt installieren Anwender Produkte von verschiedenen Herstellern. Wer hat die Verantwortung dafür, alle Interaktionen zwischen diesen Produkten zu untersuchen?", fragt Rios.

0 Kommentare zu diesem Artikel
19326