Kritische Schwachstelle in Safari Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


11.05.2010 Frank Ziemann*

Kritische Schwachstelle in Safari

In der aktuellen Version 4.0.5 von Apples Web-Browser Safari steckt eine Sicherheitslücke, die einem Angreifer das Einschleusen von Code ermöglichen kann. Ein Demo-Exploit ist öffentlich verfügbar.

Im Browser Safari 4.0.5 für Windows ist eine Sicherheitslücke entdeckt worden, die es einem Angreifer ermöglichten kann beliebigen Code einzuschleusen und die Kontrolle über das System zu erlangen. Der dänische Sicherheitsdienstleister Secunia stuft die Schwachstelle als "highly critical" ein - die zweithöchste Risikostufe.

Der von Krystian Kloskowski aus Polen entdeckte Fehler resultiert aus Safaris Umgang mit Pop-up-Fenstern und deren Eltern. In Javascript nennt man das Fenster, das ein anderes öffnet, etwa ein Pop-up oder einen Frame, "parent" (Elter). Schließt ein Safari-Anwender ein solches Pop-up-Fenster auf einer speziell präparierten Website, kann ein ungültiger Zeiger auf einen Funktionsaufruf zu Einschleusen von Code führen.

Voraussetzung ist, dass Pop-ups erlaubt sind, also der Pop-up-Blocker nicht aktiv ist [Strg+Umschalt+k]. Krystian Kloskowski hat einen Demo-Exploit veröffentlicht, der mit Safari 4.0.5 unter Windows XP SP2 den Windows Taschenrechner (calc.exe) aufruft. Ältere Safari-Versionen sind ebenfalls betroffen, wie ein eigener Test mit Safari 4.03 unter Windows XP SP3 gezeigt hat. Unklar ist derzeit noch, ob sich die Lücke mit einer geeigneten Exploit-Variante auch bei Safari auf einem Mac ausnutzen lässt. Ein Sicherheits-Update von Apple ist zurzeit noch nicht verfügbar.

* Frank Ziemann ist Redakteur der deutschen PC-Welt.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • APC Business Services GmbH

    APC Business Services GmbH IT-Personalbereitstellung, Individual-Softwareentwicklung, IKT-Consulting mehr
  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr
  • ectacom GmbH

    ectacom GmbH Aus- und Weiterbildung, IT-Asset- und Lizenzmanagement, Übernahme von Softwareprojekten, Datenschutz, Antiviren- und Virenscanner Software, Backup und Recovery Systeme, Firewalls,... mehr
  • ELO Digital Office AT GmbH

    ELO Digital Office AT GmbH Mobile Lösungen und Applikationen, Dokumentenmanagement und ECM, Übernahme von Softwareprojekten, Systemintegration und Systemmanagement, Programmierung, Individual-Softwareentwicklung, IKT-Consulting,... mehr

Hosted by:    Security Monitoring by: