Schatten

Dienstleistungen

> IT-Security Audit

> Quick Audit

> Penetration Test

> Security Review

> QSEC

> Projekt Begleitung

> Security Konzepte


Informationen

> Security News

> INFONEWS

> Anleitungen

> Vorlagen

> Fachartikel

> Links


Firma

> Unternehmen

> Team

> Partner

> Kontakt

> Impressum

> Offene Stelle

Apple stopft Sicherheitslücken und Datenlecks in Safari
30.07.2010

Apple hat für seinen Web-Browser ein Update auf die neue Version 5.0.1 bereit gestellt. Darin hat der Hersteller 13 Lücken geschlossen sowie ein Datenleck bei gespeicherten Formulareingaben beseitigt.

Die neue Safari-Version 5.0.1 für Windows bringt neben einigen neuen Funktionen auch Korrekturen sicherheitsrelevanter Fehler mit. Apple hat 15 überwiegend als kritisch einzustufende Schwachstellen beseitigt. Darunter ist ein Datenleck, das Apple gerade noch vor einem Vortrag auf der BlackHat-Konferenz gestopft hat.

Der Sicherheitsforscher Jeremiah Grossman von WhiteHat Security will heute auf der Sicherheitskonferenz BlackHat USA 2010 in Las Vegas darlegen, wie Angreifer mit Hilfe präparierter Web-Seiten persönliche Daten auslesen kann, die im Browser gespeichert sind. Es geht dabei um die Funktionen zum automatischen Vervollständigen von Formulareingaben, die praktisch alle Browser bieten.

Im Fall von Apple Safari handelt es sich um den Teil dieser Funktion, der eine im Adressbuch von Windows, Outlook oder Mac OS X gespeicherte Visitenkarte (vCard, “My Card“) des Benutzers ausliest. Diese Daten kann ein Angreifer ohne Zutun des Benutzers auslesen. Damit dies funktionieren kann, muss der Benutzer allerdings in den Einstellungen der Funktion “Autom. ausfüllen“ die standardmäßig deaktivierte Übernahme von Informationen aus der Adressbuch-Visitenkarte eingeschaltet haben.

Apple hat den Fehler in Safari 5.0.1 und 4.1.1 korrigiert, sodass nun ohne Benutzeraktion keine gespeicherten Daten mehr ausgelesen werden können. Jeremiah Grossman hat auf Anfrage mitgeteilt, er habe noch keine Gelegenheit gehabt zu prüfen, ob die Lücke vollständig geschlossen sei. Grossman hatte Apple vor einem Monat über das Leck informiert, jedoch keine Antwort erhalten.

Außerdem hat Apple 13 Sicherheitslücken in Webkit beseitigt, die sich allesamt für Drive-by Downloads ausnutzen lassen. Komplettiert wird der Reigen durch eine geschlossene XSS-Lücke, die sich mit präparierten RSS-Feeds nutzen lässt, um Dateien vom Rechner des Benutzers an einen Server im Internet zu senden.

Alle Schwachstellen betreffen Safari für Windows und Mac OS X. Safari 4.1.1 enthält die gleichen Korrekturen wie 5.0 und ist für Mac OS X 10.4.

Quelle: pcwelt.de

Zurück
Security News Startseite



Kontakt

GO OUT Production GmbH
Schulstrasse 11
8542 Wiesendangen

Email
Telefon 052 320 91 20


Security News

02.09.2010
Der IT-Forensiker, das unbekannte Wesen

02.09.2010
Swift und Co.: Wie Europas Bürger überwacht werden

02.09.2010
Remote Binary Planting: Die unpatchbare Lücke in Windows


Akt. INFONEWS

18.08.2010
INFONEWS 2/10, Sicherheit in der Cloud


Akt. Fachartikel

22.04.2010
BlickPunkt KMU 2010/2: Spuren im Netz: Das Internet vergisst nichts!