zurück zum Artikel

Die neue Version 5.0.4 des Webkit-Browsers bringt vor allem Stabilitäts- und Kompatibiliätsverbesserungen – und zahlreiche sicherheitsrelevante Bugfixes.

Apple hat in der Nacht zum Donnerstag eine neue Version seines kostenlosen Webkit-Browsers für Mac OS X und Windows bereitgestellt. Safari 5.0.4 [1] liefert laut Herstellerangaben vor allem Verbesserung bei Stabilität und Kompatibilität, außerdem zahlreiche sicherheitsrelevante Bugfixes. So soll die Mac-Version unter anderem Seiten mit über Plug-ins eingebundenen Inhalten stabiler darstellen, beherrscht Bildreflektionen respektive Übergangseffekte in HTML5 besser, behebt einen Bug beim Druck komplexer Layouts und optimiert die Unterstützung von VoiceOver [2], einer Technik, mit der man sich Inhalte von Websites vorlesen lassen kann.

Die Windows-Version von Safari kann nun besser mit Übergangseffekten umgehen, druckt ebenfalls besser, hat weniger Probleme mit HTML5-Videos von YouTube und behebt auch Fehler bei der Einbindung von Plug-in-Inhalten.

Im Bereich Sicherheit tut sich in Safari 5.0.4 ebenfalls einiges: Laut Apple wurden unter Mac OS X mehrere Dutzend Fehler in Webkit behoben, darunter auch kritische Lücken. Diese waren über die Windows-Version von iTunes 10.2 [3] auf dieser Plattform bereits angegangen worden, standen unter Mac OS X aber noch offen. Eine Liste aller sicherheitsrelevanter Bugfixes findet sich wie üblich in einem Apple-Supportdokument [4]. Safari ist für Mac OS 10.6 (37,65 MByte), WIndows (33,97 MByte) und Mac OS 10.5 (46,83 MByte) verfügbar [5].

Mit dem Update sind aber weiterhin Lücken offen – die Informationen darüber sind derzeit aber (hoffentlich) noch in sicherer Verwahrung. Auf dem am gestrigen Mittwoch gestartetem Pwn2Own-Wettbewerb war Safari einer der ersten Browser, der einem Exploit zum Opfer fiel. Der Sicherheitsdienstleister VUPEN demonstrierte seinen Angriff für die Mac-OS-X-Version und gewann damit 15.000 US-Dollar. Zwar versuchen sich viele Mac-Anwendungen durch die Datenausführungsverhinderung vor den Folgen bestimmter Fehler zu schützen. VUPEN nutzte für seinen Exploit aber Return oriented Programming [6].

Charlie Miller hatte nach eigenen Angaben ebenfalls einen Exploit für Safari in petto, kam aber nicht zum Zuge, weil das Los über die Reihenfolge der Wettbewerber entscheidet – und VUPEN durfte als Erster ran. Millers Exploit funktioniert aber auch nach dem Update noch – ob er ihn bis zum nächsten Jahr aufspart, ist unbekannt. (bsc [7])

URL dieses Artikels:
https://www.heise.de/-1205141

Links in diesem Artikel:
[1] http://support.apple.com/kb/DL1070
[2] http://www.apple.com/accessibility/voiceover/
[3] https://www.heise.de/news/Updates-iTunes-10-2-und-FaceTime-1-0-1-1201339.html
[4] http://support.apple.com/kb/HT4566
[5] http://support.apple.com/kb/DL1070
[6] https://www.heise.de/news/Neue-Exploittechnik-trickst-Speicherschutz-aus-958806.html
[7] mailto:bsc@heise.de

Copyright © 2011 Heise Medien