MACNOTES

Veröffentlicht am  25.05.10, 15:06 Uhr von  

Safari: Apple schließt zwei Jahre alte Sicherheitslücke nicht

SafariDie sogenannte Safari Carpet Bomb ist bereits zwei Jahre lang bekannt, Apple wird die Lücke auf dem Mac aber wahrscheinlich nicht schließen – der Usability zuliebe. Durch die Sicherheitslücke können potentielle Angreifer Schadsoftware auf den betreffenden Rechner laden.

Vor zwei Jahren informierte Nitesh Dhanjani Apple über die potentielle “Carpet Bomb”-Attacke, als Antwort gab es lediglich zu hören, es sei “eher störend als irgendwas anderes”. Im Mai 2008 machte Dhanjani die Lücke öffentlich, danach zeigte ein Sicherheitsexperte, wie die Safari-Lücke unter Windows für eine Attacke genutzt werden konnte. Daraufhin wurde sie geschlossen – allerdings nur in Safari für Windows, nicht in Safari für Mac.

Die Attacke lässt sich folgendermaßen durchführen: Ein Nutzer geht auf eine Website, über die der Schadcode übermittelt wird, und startet so den Download von ungewollten Dateien auf den Rechner, ohne vorherige Nachfrage. Während Browser wie Firefox vor dem Download fragen, tut Safari dies nicht – unabhängig davon, wie viele Dateien in welcher Form übertragen werden. Die Dateien selbst werden zwar nicht direkt ausgeführt, dennoch stellen sie eine potentielle Gefahr dar – wie das ganze aussehen könnte, kann man in diesem Video sehen:

Mac-Hacker Charlie Miller sieht die Lücke als nicht übermäßig problematisch an: Da die Dateien nicht direkt gestartet werden können, sollten auch keine Probleme auftauchen. Dennoch bleibt ein bitterer Nebengeschmack: Werden über diese Schwachstelle strafrechtlich relevante Dateien (illegale Pornos o.Ä.) auf den Rechner gespielt, könnte dies sehr wohl ein Sicherheitsrisiko darstellen.

Laut Dhanjani ist es gut möglich, dass Apple zugunsten der Nutzbarkeit auf eine Abfrage vor dem Download von Dateien verzichtet. “Apple will alles so nahtlos gestalten, dass man dem Nutzer eine zusätzliche Abfrage nicht zumuten will.” Genau dies wäre aber wünschenswert: Eine vorherige Frage bei allen Downloads, die man auf Wunsch in den Einstellungen deaktivieren kann.

 Und wie ist deine Meinung?  Schreib uns einfach!

 10 Kommentar(e) bisher

  •  Robert sagte am 25. Mai 2010:

    …und zusätzlich werde ich beim Starten einer runtergeladenen Datei noch gefragt, ob ich das tatsächlich tun will, weil die Datei ja aus dem Web stammt.

    Downloads landen std. in /Users/…/Downloads und abbrechen lassen sie sich auch.

    Also: Was solls?

    Antworten 
  •  @bastuerk sagte am 25. Mai 2010:

    RT @Macnotes: Safari: Apple schließt zwei Jahre alte Sicherheitslücke nicht http://macnot.es/39626

    Antworten 
  •  jmmappleworld sagte am 25. Mai 2010:

    Ich bin zufrieden, so wie es ist. Ein bisschen “Brain 1.0″ schadet nie. Und damit ging es bis jetzt immer gut.

    Wenn die Option kommen sollte, will ich sie abstellen koennen.

    Antworten 
  •  David sagte am 25. Mai 2010:

    Es ist lächerlich immer alles schön zu reden. Das Verhalten von Apple wird immer lächerlicher.

    Antworten 
  •  kg sagte am 25. Mai 2010:

    @Robert @jmmappleworld ich habe das Problem dabei, dass so theoretisch massenhaft Daten verbraucht werden könnten, ohne dass ichs es merke. Mal ab davon, dass man nie weiß, was tatsächlich in den ungewollt empfangenen Dateien steckt. Lädt sich sowas im Hintergrund, merkt man es noch nicht mal – und es gibt keine Möglichkeit, Safari zu sagen, dass genau das nicht passieren soll. Brain 1.0 hin oder her, wenn ich nicht ständig ein Auge auf meinen Downloadmanager habe, hilft mir das Hirn dann auch nicht mehr weiter.

    Antworten 
  •  meint sagte am 25. Mai 2010:

    Im Artikel steht: “Die Dateien selbst werden zwar nicht direkt ausgeführt”, aber im Video sieht es doch so aus, als ob alle möglichen Dateien geöffnet werden. Was denn nun?

    Antworten 
  •  kg sagte am 25. Mai 2010:

    @meint wie ich das sehe, sind das allesamt “Sichere Dateien”, wie Safari sie nennt – mit einer Checkbox in den Allgemeinen Einstellungen kann man aktivieren, dass diese automatisch geöffnet werden. Eine Seite, in der sowas vorgesehen ist, könnte beim Nutzer quasi den kompletten Arbeitsablauf temporär zum Erliegen bringen, weil diverse Dateiformate automatisch und ungefragt in der jeweils dafür vorgesehenen Standardsoftware öffnet. Beispiele: PDF in der Vorschau, Mail-Links in Mail, ics.-Dateien in iCal. Das ist nicht automatisch eine Gefahr, lediglich eine Nerverei.

    Dass es bisher keinen Proof of Concept gibt bezieht sich eher darauf, dass bisher keine Standalone-Software ausgeführt werden konnte, die dem System erheblicheren Schaden zufügen könnte.

    Antworten 
  •  Florian sagte am 25. Mai 2010:

    Hallo,
    das ist leider kein bug, sondern ein Feature.
    Die Website ruft spezielle, von installierten Programmen, Protokolle auf (wie mailto:), die Applikationen starten, mehr nicht.
    Hat man die Programme nicht installiert, passiert auch nichts, es nervt vielleicht, ist jedoch keinesfalls gefährlich!

    Antworten 
  •  Tekl sagte am 25. Mai 2010:

    Wie wäre denn eine Zwischenlösung. Automatische Downloads (Javascript/Weiterleitung) mit Sicherheitsabfrage und manuelle Downloads (klick auf Link) ohne.

    Antworten 
  •  It's me sagte am 26. Mai 2010:

    Sprich mit der Hand, denn Apple hört nicht zu… ^^ einfach Lachhaft.

    Antworten 

Kommentar verfassen

 0  Tweets und Re-Tweets
       0  Likes auf Facebook
         0  Trackbacks/Pingbacks
          Werbung
          © 2006-2013 MACNOTES.DE. Made with insanely great for all things Mac. Apple.de