News & Rumors: 23. März 2012,

iOS 5.1: Safari-Bug erlaubt Anzeige von Internetseiten unter manipulierter URL

Vorsicht bei der Eingabe von sensiblen Daten in den mobilen Safari-Browser: Über eine Schwachstelle in der Art und Weise, wie Seiten gerendert werden, können andere URLs als die der gerade angezeigten Seite in der Adresszeile angezeigt werden.

David Vieira-Kurz von MajorSecurity erklärt das Prinzip wie folgt: Der Fehler liegt in der Art, wie Safari mir der JavaScript window.open()-Methode umgeht, die im Browser eine neue Seite öffnet. Dieser Fehler erlaubt es, eine Seite zu öffnen, die mit einer angepassten Adress- und Headerzeile ausgestattet werden kann. Damit könnte ein Nutzer dazu verleitet werden, Daten in eine eigentlich unsichere oder gar schadhafte Seite einzugeben – zum Beispiel Bank- oder Kreditkartendaten. Nachvollziehen konnte Vieira-Kurz diesen Fehler auf iPhone 4, iPhone 4S, iPad 2 sowie iPad 3, jeweils mit dem aktuellsten iOS 5.1 ausgestattet. Eine Demonstration kann man sich hier (mit em jeweiligen iOS-Gerät) anschauen.

Weitersagen

Zuletzt kommentiert



Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht.



Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>