13. Februar 2009 von Dieter | kein Kommentar | drucken
Kritische Sicherheitslücke in Safari geschlossen
Heise und Golem berichten darüber, dass Apple eine bereits im Januar öffentlich gewordene Sicherheitslücke im RSS-Feed-Reader des Browsers Safari geschlossen hat (siehe hierzu auch den Blogbeitrag “Sicherheitslücke im RSS-Feed-Reader des Browsers Safari” ).
Mac OS X 10.5-Nutzern sei empfohlen Apples Sicherheits-Update 2009-001 zu installieren, das unter anderem auch die Sicherheitslücke beim Safari für Mac schließt.
Alle Nutzer des Browsers Safari für Windows sollten möglichst schnell das Update auf Version 3.2.2 durchführen.
Es sei noch darauf hingewiesen, dass der Entdecker der Sicherheitslücke Brian Mastenbrook auf seiner Seite fragt: ”Safari RSS vulnerability: what went wrong?” (frei übersetzt: Safari´s RSS-Schwachstelle: Was ist schiefgegangen?). Leider drängt sich da die Frage auf, ob Apple der Sicherheit einen hinreichend großen Stellenwert einräumt.
Hier die Meldung von Heise im Wortlaut:
Apples Sicherheits-Update 2009-001 schließt zahlreiche Sicherheitslücken in Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6 und Mac OS X Server v10.5.6, von denen sich mehrere zum Einschleusen und Ausführen von Code missbrauchen lassen. Dazu gehört auch die Mitte Januar gemeldete Lücke im Browser Safari. Durch präparierte RSS-Feeds ist es möglich, JavaScript in der lokalen Sicherheitszone auszuführen. Für die Windows-Version von Safari 3.2.2 steht ein gesondertes Update bereit.
Die anderen Schwachstellen in Mac OS X betreffen etwa X11, Samba, Squirrelmail, Python, perl, CUPS, CFNetwork, Clamav, AFPServer und CarbonCore. Allerdings ist nicht jede Lücke in jeder Mac-OS-X-Version zu finden. Das Update ist je nach Zielplattform zwischen 43 MByte (Leopard) und 213 MByte (Server Universal) groß.
Darüber hinaus hat Apple Java for Mac OS X 10.5 Update 3 und Java for Mac OS X 10.4, Release 8 veröffentlicht. Beide Versionen sollen mehrere Schwachstellen in Java Web Start und dem Java Plug-in beseitigen. Auch hier ermöglicht eine Lücke sonst einem Angreifer, Code auf das System eines Opfers zu schleusen und auszuführen. Dazu genügt der Besuch einer präparierten Webseite.
[Update]:Der Entdecker der Safari-Lücke Brian Mastenbrook hat in seinem Blog darauf hingewiesen, dass er die Lücke bereits Mitte Juli 2008 an Apple gemeldet hat. Erst nachdem sich ein halbes Jahr nichts tat, veröffentlichte er erste Informationen über das Problem. Mastenbrook beschreibt zudem einige weitere, bereits länger zurückliegende Lücken in Safari und beklagt sich über die langen Reaktionszeiten des Herstellers. [/Update]
Siehe dazu auch:
- About the security content of Security Update 2009-001, Beschreibung von Apple
- About the security content of Java for Mac OS X 10.4, Release 8, Beschreibung von Apple
- About the security content of Java for Mac OS X 10.5 Update 3, Beschreibung von Apple
- Sicherheitslücke in Apples Safari, Bericht auf heise Security
Infos
Webseite veröffentlicht am Freitag, den 13. Februar 2009, um 18:10 Uhr, zuletzt geändert am Sonntag, den 22. November 2009, um 20:37 Uhr.
Kategorie: Browser
Schlagworte: Mac OS X 10.5, RSS-Feed-Reader, Safari, Sicherheitslücken, Update, Windows
Statistik: 259 Blogbeiträge, 682 Schlagworte, 1.558 Kommentare, 113 Feedleser