Cross-Site-Scripting-Lücke in Apples Windows-Safari
In der Beta des Webbrowsers Safari für Windows schließt Apple mit einem Update eine Cross-Site-Scripting-Lücke.
Eine Cross-Site-Scripting-Lücke in Safari betrifft den Webbrowser nicht nur unter Mac OS X, sondern auch die Beta-Version für Windows. Apple stellt zusätzlich zum Update für Mac OS X eine aktualisierte Version für die unterstützten Windows-Versionen zur Verfügung.
Angreifer können durch die Schwachstelle Webseiten, die auf Frames basieren, fremde Inhalte unterschieben und beispielsweise Skriptcode im Sicherheitskontext der Webseite ausführen. Auch das Ausspähen von Informationen wie Cookies ist möglich. Die aktualisierte Software-Version, die auf der Safari-Seite von Apple zum Download bereitsteht, schließt das Sicherheitsleck. Weitere Fehler korrigiert sie nicht.
Siehe dazu auch:
- Informationen über den Sicherheitsinhalt von Safari 3 Beta Update 3.0.4 für Windows, Sicherheitsmeldung von Apple
- Übersicht zu Safari mit Download-Link für die Beta-Version mit integriertem Sicherheitsupdate
(dmk)
