kg, den 25. Mai 2010

Safari: Apple schließt zwei Jahre alte Sicherheitslücke nicht

Die sogenannte Safari Carpet Bomb ist bereits zwei Jahre lang bekannt, Apple wird die Lücke auf dem Mac aber wahrscheinlich nicht schließen – der Usability zuliebe. Durch die Sicherheitslücke können potentielle Angreifer Schadsoftware auf den betreffenden Rechner laden.

Vor zwei Jahren informierte Nitesh Dhanjani Apple über die potentielle „Carpet Bomb“-Attacke, als Antwort gab es lediglich zu hören, es sei „eher störend als irgendwas anderes“. Im Mai 2008 machte Dhanjani die Lücke öffentlich, danach zeigte ein Sicherheitsexperte, wie die Safari-Lücke unter Windows für eine Attacke genutzt werden konnte. Daraufhin wurde sie geschlossen – allerdings nur in Safari für Windows, nicht in Safari für Mac.

Die Attacke lässt sich folgendermaßen durchführen: Ein Nutzer geht auf eine Website, über die der Schadcode übermittelt wird, und startet so den Download von ungewollten Dateien auf den Rechner, ohne vorherige Nachfrage. Während Browser wie Firefox vor dem Download fragen, tut Safari dies nicht – unabhängig davon, wie viele Dateien in welcher Form übertragen werden. Die Dateien selbst werden zwar nicht direkt ausgeführt, dennoch stellen sie eine potentielle Gefahr dar – wie das ganze aussehen könnte, kann man in diesem Video sehen:

Mac-Hacker Charlie Miller sieht die Lücke als nicht übermäßig problematisch an: Da die Dateien nicht direkt gestartet werden können, sollten auch keine Probleme auftauchen. Dennoch bleibt ein bitterer Nebengeschmack: Werden über diese Schwachstelle strafrechtlich relevante Dateien (illegale Pornos o.Ä.) auf den Rechner gespielt, könnte dies sehr wohl ein Sicherheitsrisiko darstellen.

Laut Dhanjani ist es gut möglich, dass Apple zugunsten der Nutzbarkeit auf eine Abfrage vor dem Download von Dateien verzichtet. „Apple will alles so nahtlos gestalten, dass man dem Nutzer eine zusätzliche Abfrage nicht zumuten will.“ Genau dies wäre aber wünschenswert: Eine vorherige Frage bei allen Downloads, die man auf Wunsch in den Einstellungen deaktivieren kann.


Ähnliche Nachrichten