Kritische Sicherheitslücke in Safari entdeckt (Update)

Google-Sicherheitsexperten haben eine schwerwiegende Schwachstelle in Apples Web-Browser Safari aufgespürt, die Angreifern das Ausführen von Code mit Root-Zugriffsrechten in OS X ermöglicht.

Google demonstrierte die Sicherheitslücke im Rahmen des Hacker-Wettbewerbs Pwn2Own. Demnach kann die Schwachstelle ausgenutzt werden, indem eine entsprechend präparierte Web-Site aufgerufen wird. Google zeigte dies anhand des Öffnens des OS-X-Taschenrechners – stattdessen hätten aber auch andere Aktionen mit Root-Rechten gestartet werden können. Angreifer könnten Anwender beispielsweise mit gefälschten E-Mails auf manipulierte Web-Sites locken, um in Macs einzudringen.

Google hat Apple über die Schwachstelle in Kenntnis gesetzt. Details wurden aus Sicherheitsgründen nicht veröffentlicht. Der Mac-Hersteller hat sich zu dem Thema bislang nicht geäußert, so dass derzeit unklar ist, wann ein Update für Safari erscheint.

Auf dem Hacker-Wettbewerb wurden, unter Windows, auch kritische Sicherheitslücken in Adobe Reader, Firefox, Flash Player und Internet Explorer demonstriert.

Nachtrag (14. März): Bei Pwn2Own wurde eine zweite Sicherheitslücke in Safari demonstriert, die ebenfalls die Einschleusung von Schadcode ermöglicht.

Kommentare

Google und Apple verwenden

Google und Apple verwenden das gleiche WebKit, oder?

Google bezahlt User für das Melden von Sicherheitslücken.
Google hat also eine Sicherheitslücke gemeldet bekommen,
und eine kleine Textwebseite mit Script zum Ausnutzen des Bugs programmiert.
Anschließend mit dem Safari die Textwebseite angesteuert, und schon hat Google einen zweifelhaften PR-Erfolg.

Der gleiche Bug in Chrome wurde natürlich von Google sofort gefixt.

Nachtrag: In anderen Foren

Nachtrag:
In anderen Foren wird spekuliert, dass garnicht Safari betroffen ist, sondern ein PlugIn, Java oder Flash Player.
Das wäre dann extrem Boshaft von Google.

Da wird sicher noch die Wahrheit rauskommen - ich bin gespannt.

Ich benutze den Browser

Ich benutze den Browser schon länger nicht mehr, da es für Safari unter 10.6.8 schon länger keine Sicherheitsupdates gibt. Zum Glück gibt es ja einige Alternativen.

… aber schlecht integriert.

Ja, aber die anderen Browser sind leider sehr schlecht ins System integriert. So haben sie nicht die systemweite Rechtschreibprüfung und Textersetzungen, und auch nicht die wichtigen systemweiten Shortcuts im Text. Außerdem werden Lesezeichen nicht mit iOS synchronisiert, keine Leseliste mit iOS, keine Cloudtabs, nutzt nicht den systemweiten Schlüsselbund usw. usw. usw. Damit sind sie nahezu unbrauchbar!

Garnicht integriert ist für mich der Vorteil

von Opera 12.16.
Wie immer kommts darauf an, was man für Ansprüche bzw. Prioritäten hat.
Für mich ist es ein starker Sicherheitsgewinn, nicht den System Browser zu benutzen. Denn dieser ist immer der Handlanger für Angriffe übers Internet.

Darüberhinaus bietet Opera 12.16 Komfortmerkmale beim Surfen, die es wohl leider nie wieder geben wird; dagegen sind Safari Firefox usw. Steinzeit.

Und meine Lesezeichen sind, genau so wie meine anderen Daten und Dateien, nicht für NSA-Land bestimmt, sondern bleiben auf meinen Rechnern.
Klar ist so das Synchron halten Umständlich, aber so ist es nunmal im Leben: Man muß sich entscheiden.

Cookies blocken

Ich schätze bei Firefox die Möglichkeit, Cookies generell bis auf ganz wenige gezielte Ausnahmen komplett zu blocken. Gibt´s so eine Möglichkeit auch bei Safari oder anderen Browsern? War für mich der Hauptgrund, Safari nicht zu benutzen.

webkit war mal bei google

die nutzen doch jetzt einen eigenen

Bin mal gespannt, wie lange Apple diesmal braucht

um die Sicherheitslücken zu beseitigen.

Übrigens basiert Chrome auf der Render-Engine Blink. Eine Abspaltung von WebKit.

Cookies blocken

Kann genau das:

http://sweetpproductions.com/safaricookies/

(donation ware)