Apple schließt kritische Lücken in Safari
In der nun veröffentlichten Version 4.0.4 für den Web-Browser sind sieben Sicherheitslücken beseitigt. Zwei der Lücken stuft Apple als kritisch ein.
- Daniel Bachfeld
Apple hat Safari 4.0.4 für Windows 7, Vista, XP und Mac OS X (10.4.x bis 10.6.x) veröffentlicht, in der sieben Sicherheitslücken beseitigt sind. Zwei der Lücken stuft Apple als kritisch ein, da sich dadurch Schadcode in einen Rechner schleusen und starten lässt. Allerdings sind laut Bericht davon nur die Windows-Versionen betroffen. Dabei genügt es, ein präpariertes Bild in einer Webseite zu öffnen oder mit Safari die Verzeichnisstruktur eines manipulierten FTP-Servers zu durchforsten.
Weitere Schwachstellen in libxml und Webkit können sowohl unter Windows als auch unter Mac OS X dazu führen, dass Anwendungen abstürzen oder den Inhalt lokaler HTML-Dateien preisgeben und dass Angreifer Cross-Site-Request-Forgery-Attacken durchführen können. Zudem führt die Verarbeitung von HTML-5-Media-Elementen etwa in Mails dazu, dass die Anwendung automatisch Audio- oder Videoinhalte nachlädt, ohne beim Anwender nachzufragen. Angreifer können dies beispielsweise ausnutzen, um festzustellen, ob der Empfänger eine Mail geöffnet hat – also ein klassischer "Web Bug". Dieses Problem tritt jedoch nicht in der Windows-Version auf.
Siehe dazu auch:
- About the security content of Safari 4.0.4, Bericht von Apple
(dab)
