19032

Apple schließt Safari-Schwachstellen

20.06.2008 | 15:24 Uhr |

Apple hat eine neue Version seines Browsers Safari heraus gebracht. Safari 3.1.2 beseitigt mehrere Sicherheitslücken in Vorversionen, darunter auch die so genannte Bombenteppich-Schwachstelle.

Lange Zeit hatte sich Apple geweigert das Verhalten seines Browsers Safari für Windows als Fehler anzuerkennen. Jetzt hat Apple die neue Safari-Version 3.1.2 bereit gestellt. Sie ändert das kritisierte Verhalten und beseitigt drei weitere Sicherheitslücken. Statt herunter geladene Dateien ungefragt auf dem Desktop abzulegen, fragt Safari 3.1.2 nach, wie der Anwender mit einem Download umgehen möchte (Abbrechen, Öffnen, Sichern). Außerdem werden Downloads nicht mehr auf dem Desktop abgelegt sondern unter Vista im Download-Ordner des angemeldeten Benutzers und unter Windows XP in Eigene Dateien.

Die Eigenart von Safari bis Version 3.1.1 Downloads auf dem Desktop zu speichern, kann im Zusammenspiel mit dem Internet Explorer zur Ausführung eingeschleuster Programme ausgenutzt werden. Eine Website könnte den Desktop mit einem so genannten "Bombenteppich" ausführbarer Dateien überziehen, daher wird dieser Angriff im Englischen als "carpet bombing" bezeichnet. Ein Demo-Exploit für diese Anfälligkeit ist öffentlich verfügbar.

Außerdem hat Apple in der neue Version eine weitere Sicherheitslücke gestopft, die aus einem Zusammenspiel mit dem Internet Explorer erwächst. Offenbar interessiert sich Safari dafür, in welcher Sicherheitszone des Internet Explorers eine Website eingestuft ist. Erlauben die Einstellungen des IE das Ausführen von herunter geladenen Anwendungen, führt auch Safari (bis Version 3.1.1) diese Programme ohne Rückfrage aus. Die neue Version fragt bereits vor dem Download beim Anwender nach.

Eine weniger kritische Lücke steckt im Umgang Safaris mit Bilddateien im BMP- und GIF-Format. Eine fehlerhafte Überprüfung kann bei speziell präparierten Bilddateien dazu führen, dass Speicherbereiche ausgelesen werden können, die zu anderen Programmen gehören. Diese Schwäche betrifft auch Mac OS X und wird hier durch das Sicherheits-Update 2008-003 beseitigt.

Schließlich hat auch noch WebKit, das HTML-Modul, auf dem Safari aufbaut, eine Nachbesserung erfahren. Der Besuch einer präparierten Website, die Javascript einsetzt, kann zum Absturz des Browsers und zum Ausführen von eingeschleustem Code führen. Apple beschreibt die gestopften Sicherheitslücken im Support-Dokument HT2092 .

Safari 3.1.2 für Windows ist ab sofort erhältlich, auch in deutscher Sprache. Sie können Safari über das Apple Software Update beziehen, falls Sie bereits Safari, Quicktime oder iTunes installiert haben. Die neue Safari-Version ist aber auch als Download erhältlich. Die Datei ist jeweils etwa 20 MB groß (ohne Quicktime).

Download: Safari 3.1.2

0 Kommentare zu diesem Artikel
19032