Kritische Schwachstelle in Safari Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


11.05.2010 Frank Ziemann*

Kritische Schwachstelle in Safari

In der aktuellen Version 4.0.5 von Apples Web-Browser Safari steckt eine Sicherheitslücke, die einem Angreifer das Einschleusen von Code ermöglichen kann. Ein Demo-Exploit ist öffentlich verfügbar.

Im Browser Safari 4.0.5 für Windows ist eine Sicherheitslücke entdeckt worden, die es einem Angreifer ermöglichten kann beliebigen Code einzuschleusen und die Kontrolle über das System zu erlangen. Der dänische Sicherheitsdienstleister Secunia stuft die Schwachstelle als "highly critical" ein - die zweithöchste Risikostufe.

Der von Krystian Kloskowski aus Polen entdeckte Fehler resultiert aus Safaris Umgang mit Pop-up-Fenstern und deren Eltern. In Javascript nennt man das Fenster, das ein anderes öffnet, etwa ein Pop-up oder einen Frame, "parent" (Elter). Schließt ein Safari-Anwender ein solches Pop-up-Fenster auf einer speziell präparierten Website, kann ein ungültiger Zeiger auf einen Funktionsaufruf zu Einschleusen von Code führen.

Voraussetzung ist, dass Pop-ups erlaubt sind, also der Pop-up-Blocker nicht aktiv ist [Strg+Umschalt+k]. Krystian Kloskowski hat einen Demo-Exploit veröffentlicht, der mit Safari 4.0.5 unter Windows XP SP2 den Windows Taschenrechner (calc.exe) aufruft. Ältere Safari-Versionen sind ebenfalls betroffen, wie ein eigener Test mit Safari 4.03 unter Windows XP SP3 gezeigt hat. Unklar ist derzeit noch, ob sich die Lücke mit einer geeigneten Exploit-Variante auch bei Safari auf einem Mac ausnutzen lässt. Ein Sicherheits-Update von Apple ist zurzeit noch nicht verfügbar.

* Frank Ziemann ist Redakteur der deutschen PC-Welt.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • KORAM Softwareentwicklungsgesellschaft m.b.H:

    KORAM Softwareentwicklungsgesellschaft m.b.H: Betriebsdaten- und Zeiterfassung, Kaufmännische Software (ERP), Management Informationssysteme (MIS), Bauwesen, Einzelhandel, Fertigung, Produktion und Konstruktion, Freie Berufe,... mehr
  • mic customs solutions (Gruppe)

    mic customs solutions (Gruppe) Supply Chain Management, Kaufmännische Software (ERP), Expertensysteme, E-Procurement und Supply Chain Management, B2B Dienste und Lösungen mehr
  • T-Systems Austria GesmbH

    T-Systems Austria GesmbH WLAN-Systeme, VPN, Voice Mail Dienste, Videokonferenz-Systeme, Unified Messaging Dienste, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management,... mehr
  • ETC - Enterprise Training Center

    ETC - Enterprise Training Center E-Learning, Datenschutz, B2B Dienste und Lösungen, Outsourcing, IT-Personalbereitstellung, Aus- und Weiterbildung mehr

Hosted by:    Security Monitoring by: