Safari 5.0.5, iOS-Updates

Apple beseitigt Pwn2own-Lücken

Freitag den 15.04.2011 um 15:58 Uhr

von Frank Ziemann

Apple hat die neue Safari-Version 5.0.5 für Windows und Mac fertig gestellt. Sie behebt zwei Sicherheitslücken, die beim Hacker-Wettbewerb Pwn2own ausgenutzt wurden, um Safari und iPhone zu knacken. Auch für iOS gibt es entsprechende Updates, die zugleich die SSL-Zertifikate aus dem Comoso-Hack sperren.
Update für Safari
Vergrößern Update für Safari
© 2014

Apple hatte seinen Web-Browser Safari noch unmittelbar vor dem Hacker-Wettbewerb Pwn2own im März aktualisiert , ebenso iOS für iPhone und Co. Doch gebracht hat Apple die Eile nichts, denn die beim Hacken von Safari und iPhone genutzten Sicherheitslücken in Webkit werden erst mit den neuen Updates  geschlossen, die Apple jetzt bereit gestellt hat.

In der neuen Safari-Version 5.0.5 für Windows und Mac hat Apple die Webkit-Lücke beseitigt, die VUPEN-Forscher am ersten Tag des Wettbewerbs gegen Safari eingesetzt haben. Diese wie auch die zweite Webkit-Lücke, die Vincenzo Iozzo, Willem Pinckaers und Ralf-Philipp Weinmann ausgenutzt haben, um das Blackberry Torch zu hacken und beim Pwn2own-Wettbewerb das Preisgeld einzustreichen, ermöglicht es Code einzuschleusen und auszuführen.

Um die SSL-Zertifikate zu sperren, die sich der Comodo-Hacker beim Einbruch in einen unzureichend gesicherten Server eines Vertriebspartners des Zertifizierungsunternehmens ausgestellt hat, werden im Gegensatz zu Firefox und Chrome bei Safari keine eigenen Sperrlisten verwendet. Vielmehr benutzt Safari die Sperrlisten des jeweiligen Betriebssystems. Für Windows hatte Microsoft längst ein Update bereit gestellt, Apple liefert ein solches nun als Security Update 2011-002 nach, das keine weiteren Aktualisierungen enthält.

Diese SSL-Sperrlisten sind auch in zwei neuen iOS-Versionen enthalten: iOS 4.2.7 und iOS 4.3.2 . Die beiden Webkit-Lücken werden damit ebenfalls beseitigt. Beide Updates schließen außerdem eine Schwachstelle im Betrachter für Office-Dokumente, QuickLook , die Charlie Miller beim Pwn2own-Wettbewerb ausgenutzt hat. In iOS 4.3.2 hat Apple zudem einen Fehler in der Programmbibliothek libxslt behoben, der es Exploit-Code für eine beliebige andere Lücke ermöglicht den Schutzmechanismus ASLR (Address Space Layout Randomization) auszutricksen.

Freitag den 15.04.2011 um 15:58 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
826320