Safari 4.0
Neue Safari-Version stopft fast 50 Sicherheitslücken
Apple hat die neue Version seines Web-Browsers Safari bereit gestellt. Darin hat der Hersteller nicht nur eine Reihe von Neuerungen umgesetzt, sondern auch etliche Sicherheitslücken aus den Vorversionen beseitigt.
Mit Safari 4.0 hat Apple die Sicherheit seines Browsers erheblich verbessert. Neben einigen neuen Funktionen, die meist bereits aus der Beta-Version bekannt sind, hat der Hersteller gegenüber dieser Beta-Version vor allen Schwachstellen beseitigt. Safari 4.0 verfügt über neue Sicherheitsfunktionen, etwa einen gewissen Schutz vor Click-Jacking-Angriffen, wie er bereits seit Ende März im Internet Explorer 8 enthalten ist.
Der Click-Jacking-Filter basiert auf einem Vorschlag von Microsoft und erfordert in erster Linie die Mitwirkung der Betreiber von Websites. Die Schutzwirkung erfasst ohnehin nur einen Teilaspekt des Problems und bleibt zahnlos, solange Webmaster ihre Websites nicht daran anpassen. Von Click-Jacking spricht man, wenn ein transparentes, nicht sichtbares aktives Element, etwa eine Schaltfläche, ein sichtbares Element überlagert. Zum Beispiel führt der Klick auf einen vermeintlichen "Abbrechen"-Button so den Befehl "Senden" aus.
In den Sicherheitshinweisen zu Safari 4.0 führt Apple insgesamt 48 Sicherheitslücken der Vorversionen auf, die der Hersteller beseitigt hat. Allein 33 davon betreffen WebKit, den HTML-Renderer, auf dem Safari ebenso aufbaut wie Google Chrome. Die Palette der Risiken, die mit diesen Schwachstellen verbunden sind, reicht von der Offenlegung privater Daten bis zum Ausführen eingeschleusten Codes.
Einer der WebKit-Fehler ermöglicht es zum Beispiel eine Website ein lokal auf dem Rechner des Besuchers gespeichertes Java-Applet zu laden. Das darf eigentlich nicht möglich sein. Zwei Fehler in dem in WebKit enthaltenen Web Inspector können dazu führen, dass Javascript-Code in einer gerade inspizierten Seite mit erweiterten Rechten ausführt wird und so ein Zugriff auf die lokale Festplatte möglich wird.
Die Grafikbibliothek CoreGraphics ist anfällig für Angriffe mit manipulierten PDF-Dateien. Eine dieser Schwachstellen entspricht dem im März im Adobe Reader gestopften JBIG2-Sicherheitslücke. Sie ermöglicht, ebenso wie die zweite PDF-Anfälligkeit das Einschleusen und Ausführen von beliebigem Code.
Ein Fehler in der Komponente CFNetwork kann dazu führen, dass beim Laden einer vermeintlichen Bilddatei Javascript-Code ausgeführt wird. Ein weiter CFNetwork-Bug, ermöglicht es einem zweiten angemeldeten Benutzer, gerade vom ersten Benutzer aus dem Internet herunter geladene Dateien zu lesen, weil temporäre Dateien auf unsichere Weise angelegt werden.
Einige der Sicherheitslücken betreffen nur die Windows-Version, andere sind Mac-spezifisch und werden teilweise nicht mit Safari 4.0 sondern dem jüngsten Sicherheits-Update für Mac OS X beseitigt.
