Weitere Schwachstellen in Apples Safari für Windows [Update]

Apples Versuche, seinen Browser Safari auf die Windows-Plattform zu portieren, werden weiterhin von Sicherheitsspezialisten weltweit argwöhnisch beobachtet. In Apples aktuellem Wurf 3.0.2 wurden nun zwei Fehler entdeckt, die die Stabilität und die Sicherheit beeinträchtigen können. So unterstützt Safari Internationalized Domain Names (IDN), was die Verwendung länderspezifischer Umlaute und Sonderzeichen erlaubt. Durch Manipulation eines Links ist es möglich, dem Anwender in der Adresszeile eine andere URL vorzugaukeln. Phisher könnten diesen Fehler für ihre Zwecke missbrauchen.

Auf der Mailing-Liste Full Disclosure wurde dazu eine Demo gepostet, die das Problem vorführen soll. Eine sehr lange URL enthält spezielle Unicode-Zeichen im Domain-Namen, die als Whitespaces in der Adresszeile des Browsers dargestellt werden sollen. Damit wird laut Fehlerbericht nur der Anfang der Adresse dargestellt, der Rest wird rechts ausgerückt. Allerdings scheint es nicht auf allen Systemen zu funktionieren. Beim Test der heise-Security-Redaktion auf Windows XP SP2 wurden die Sonderzeichen dargestellt, ein Täuschungsversuch dürfte so nicht funktionieren. Abhängig davon, welche Fonts auf dem System installiert sind, kann die Demo aber wie beschrieben funktionieren. Der Autor des Fehlerberichts hat seinem Posting ein Bild beigefügt, auf der ein erfolgreicher Täuschungsversuch zu sehen ist. Probleme mit IDN traten früher schon bei Firefox und Mozilla auf.

Zudem führt ein Fehler beim Anlegen von Bookmarks mit einem mehr als 1024 Zeichen langen Titel zu einem Buffer Overflow. In der Folge stürzt der Browser beim Hinzufügen des Bookmarks ab. Ob damit auch das Einschleusen und Ausführen von Schadcode möglich ist, steht noch nicht fest. In der ersten Version von Safari ließ sich auch mit präparierten URLs Schadcode in den Rechner schleusen.

Zwar ist die Windows-Version von Safari weiterhin eine Beta-Version, die nicht für den produktiven Einsatz gedacht ist, allerdings taugt sie im derzeitigen Zustand allenfalls als äußerst wackelige Preview, um sich mit den Funktionen vertraut zu machen. Apple täte gut daran, ein eigenes Team mit einem Code-Review zu betrauen, um weitere Fehler selbst zu finden und zu bereinigen – derzeit hat es den Anschein, als würde sich nur die Community mit der Qualitätssicherung des Browsers beschäftigen.

Update
Der französische Sicherheitsdienstleister FrSIRT will einen Exploit für die Bookmark-Lücke entwickelt haben, mit dem sich Code auf das System schleusen und ausführen lässt. Allerdings steht das Programm nur registrierten Kunden zur Verfügung.

Siehe dazu auch:

• Apple Safari: idn urlbar spoofing, Fehlerbericht von Robert Swiecki
• Safari Bookmarks Buffer Overflow Vulnerability, Fehlerbericht von Azizov.E

(dab)