948306

Sicherheitsleck in Apples Webbrowser

20.02.2006 | 13:49 Uhr |

Wer sich auf die Sicherheitsvorkehrungen in Safari verlässt, geht ein Risiko ein. Mit den Standardeinstellungen des Webbrowsers könnte das Surfen zu einer Internetadresse genügen, um das Benutzerverzeichnis zu löschen.

Ein macnews.de-Leser hat am vergangenen Wochenende eine Adresse in deren Forum veröffentlicht, die beim Aufruf in Apples Browser ohne Zutun des Anwenders und ohne Warnung ein Skript herunterlädt , entpackt und ausführt. Michael Lehns Skript gibt dabei nur den Text "Hallo, Welt!" aus und richtet keinen Schaden an, er warnt aber vor Schäden und ruft alle Mac-User dazu auf, die Einstellung 'Sichere' Dateien nach dem Laden öffnen in den Safari-Einstellungen zu deaktivieren. Gleichzeitig hat er die Sicherheitslücke in Apples Bug Reporter gepostet, sie trägt die Bug-Nummer 4450856 und wartet auf ein Sicherheitsupdate.

Hinter Lehns Internetseite verbirgt sich eine gepackte ZIP-Datei. Safari stuft ZIP-Archive als sichere Dateien ein, lädt die Datei herunter und entpackt sie. Dann nimmt das Übel seinen Lauf: Mac OS X öffnet die vermeintliche Videodatei Mac-TV-Stream.mov, hinter der sich in Wirklichkeit das Skript verbirgt. Je nach Rechten des Benutzers kann das Skript allerlei Unfug mit dem Rechner anstellen, etwa den Benutzerordner oder sogar Systemdateien löschen, wenn der Benutzer über Administratorrechte verfügt. Lehn empfiehlt deshalb allen Anwendern dringend, die Funktion 'Sichere' Dateien nach dem Laden öffnen manuell abzuschalten, bis Apple sie generell unterbindet: "Der ganze UNIX Unterbau ist rock solid. Nur die Komponente in Mac OS X, die mit Dateien aus dem Internet umgeht, muss Apple anpassen."

0 Kommentare zu diesem Artikel
948306