Safari 5.1.4

Apple schließt 83 Safari-Lücken

Dienstag, 13.03.2012 | 14:16 von Frank Ziemann
Apple hat Safari aktualisiert
Vergrößern Apple hat Safari aktualisiert
Apple hat seinen Web-Browser Safari für Windows und Mac aktualisiert. In der neuen Version 5.1.4 hat der Hersteller etliche Sicherheitslücken beseitigt, die er zum Teil auch bereits in Mobile Safari und iTunes geschlossen hatte.
Die in der letzten Woche veröffentlichten Sicherheits-Updates für iTunes und iOS ließen bereits erwarten, dass Apple auch ein Safari-Update vorbereitet hat. Nachdem Safari beim Hacker-Wettbewerb Pwn2own als einziger Browser unangetastet geblieben ist, stellt Apple dieses Update nun bereit.

In Safari 5.1.4 haben die Apple-Entwickler 83 Schwachstellen behoben, von denen ein großer Anteil auf die zentrale Komponente Webkit entfällt. Webkit ist auch das Fundament für Google Chrome sowie die Browser in iTunes und iOS (iPhone und Co). Viele der Webkit-Lücken sind daher auch von Sicherheitsforschern entdeckt worden, die sich mit der Fehlersuche in Chrome beschäftigen.

Hinzu kommen zwei Schwachstellen, die von Symantec und American Express aufgedeckt worden sind. So können internationale Domain-Namen (IDN) Zeichen aus nicht-lateinischen Zeichensätzen enthalten (etwa kyrillische), die lateinischen Buchstaben stark ähneln. Auf diese Weise können Betrüger nachgeahmte Websites mit Domain-Namen betreiben, die vermeintlich zu legitimen Unternehmen gehören (etwa Banken). Safari 5.1.4 prüft nun sorgfältiger auf solche Täuschungsversuche.

Außerdem enthält der Private Modus ("Privates Surfen") in bisherigen Safari-Versionen die Möglichkeit eine Browser-Sitzung mittels Javascript zu verfolgen und aufzuzeichnen. Gerade das sollte im Privaten Modus nicht möglich sein. Bei Safari 5.1.4 hat Apple dieses Manko behoben, ebenso wie eine Reihe nicht sicherheitsrelevanter Fehler.

Offenbar nicht beseitigt hat Apple hingegen eine Schwachstelle, die das dänische Sicherheitsunternehmen Secunia bereits vor mehr als sechs Monaten an den Hersteller gemeldet hatte. Sie betrifft Safaris Schnittstelle (API) für Plug-ins (wie etwa Flash Player oder RealPlayer). Unter bestimmten Umständen können API-Aufrufe in bereits wieder freigegebenen Speicherbereichen landen ("use-after-free"). Angreifer könnten das ausnutzen, um Code einzuschleusen.

Dienstag, 13.03.2012 | 14:16 von Frank Ziemann
Kommentieren Kommentare zu diesem Artikel (0)
1391932