Apple stopft Lücken in Safari

Apple hat das Update für Safari 4.0.3 veröffentlicht, das sechs Sicherheitsprobleme beseitigt. Drei der Probleme können Angreifer ausnutzen, um dem Browser durch manipulierte Inhalte in Webseiten Code unterzuschieben und auszuführen. Zwei dieser kritischen Lücken in CoreGraphics und ImageIO sind allerdings nur in der Windows-Version von Safari zu finden.

Außerdem ermöglicht eine Schwachstelle im Browser, dass eine Webseite sich selbstständig in die Liste der am häufigsten besuchten Seiten (Top 10) eintragen kann. Ein Proof-of-Concept-Exploit dafür ist schon öffentlich verfügbar. Ein Fehler im Umgang mit unbekannten Plug-in-Typen soll sich laut Apple missbrauchen lassen, um Datei-URLs aufzurufen und so möglicherweise an geschützte Informationen zu gelangen.

Zudem soll das Update sogenannte Homograph Spoofing Attacks im Zusammenhang mit der Unterstützung des International Domain Name (IDN) verhindern, bei denen Zeichen in einer URL zwar richtig aussehen, es aber nicht sind. Beispielsweise werden ein kyrillisches a und ein lateinisches a von den meisten Zeichensätzen grafisch gleich dargestellt, obwohl es sich um unterschiedliche Zeichen handelt (look alike character). Diesen Umstand könnten Phisher bei Adressen wie www.paypal.com zur Täuschung benutzen.

Daneben haben die Entwickler in Safari 4.0.3 die Stabilität für Webseiten verbessert, die HTML-5-Video-Tag enthalten. Darüber hinaus soll es kein Probleme mehr bei der Anmeldung bei iWork.com geben, und alle Webseiten sollen nun wieder farbig dargestellt werden.

Das Update steht für Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.7, Mac OS X Server v10.5.7, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Windows XP und Vista zum Download bereit.

Siehe dazu auch:

• About the security content of Safari 4.0.3, Beschreibung von Apple
• Hijacking Safari 4 Top Sites with Phish Bombs

(dab)