185809

Apple stopft 48 Sicherheitslücken in Safari

09.06.2010 | 16:01 Uhr |

Apple hat für seinen Web-Browser Safari Updates auf die neue Version 5.0 bereit gestellt. Darin haben die Entwickler insgesamt 48 Schwachstellen beseitigt, viele davon sind als kritisch einzustufen.

Apples Browser Safari 5.0 für Windows und Mac OS X bringt eine Vielzahl von Verbesserungen und neuen Funktionen mit. Doch die neue Version ist zugleich auch ein wichtiges Sicherheits-Update, denn sie soll 48 Lücken stopfen. Für das ältere Mac OS X 10.4 gibt es Safari 4.1, das die gleichen Lücken schließt.

Allein 44 der 48 Schwachstellen stecken in Webkit, dem HTML-Renderer, auf dem auch Google Chrome basiert. Die meisten dieser Lücken betreffen sowohl die Windows- als auch die Mac-Versionen von Safari. Fast alle können einem Angreifer das Einschleusen und Ausführen von beliebigem Code ermöglichen. Das Problem liegt meist darin, dass Webkit mit unerwarteten Ungereimtheiten in speziell präparierten Web-Seiten nicht umgehen kann und abstürzt.

Nur Safari 4 für Windows hat ein Problem mit Bilddateien, die eingebettete ColorSync-Farbprofile enthalten. Speziell präparierte Bilddateien können einen Pufferüberlauf provozieren und das Einschleusen von Code ermöglichen. ColorSync prüft nun eingebettete Farbprofile sorgfältiger.

In Safari selbst hat Apple drei Sicherheitslücken gestopft, darunter die bereits seit vier Wochen bekannte Schwäche beim Umgang mit Popup-Fenstern unter Windows. Außerdem hat Apple eine Schwachstelle beim Umgang mit PDF-Dateien beseitigt sowie eine weitere, die URL-Spoofing ermöglicht.

Safari 5.0 ist der erste Browser überhaupt, der ein seit vielen Jahren kritisiertes Datenleck aller Web-Browser schließt. Websites können per Javascript die komplette Chronik (History) der zuvor besuchten Web-Seiten auslesen und damit die Privatsphäre ihrer Besucher erheblich verletzen. Gegebenenfalls könnten sogar Anmeldedaten für andere Websites abgegriffen werden.

0 Kommentare zu diesem Artikel
185809