Sicherheitslücke: Safari abschalten!

Ein schwerer Fehler in Safari macht Mac-Benutzer zur leichten Beute für Angreifer: Es genügt im Browser eine präparierte Internetseite mit einem speziellen Link aufzurufen. Nachdem die Seite in Safari sichtbar ist, wird man gefragt, ob man eine weitere Seite laden möchte. Klickt man auf "OK", kann der Angreifer mit Hilfe der präparierten Link-Adresse Dateien auf der Festplatte des Macs lesen oder auf einen Server im Internet übertragen. Voraussetzung ist nur, dass der Angreifer den vollständigen Namen der Datei kennt.

Was nach einer komplizierten Angelegenheit klingt, ist in Wirklichkeit eine extrem gefährliche Sicherheitslücke: Wer wird schon misstrauisch, wenn Safari beim Laden einer Internetseite beispielsweise harmlos fragt: "Diese Seite ist umgezogen. Möchten Sie die neue Seite laden?" Und die Namen sicherheitsrelevanter Dateien sind wohl bekannt: "~/Library/Keychains/login.keychain" zum Beispiel ist auf jedem Mac die (zum Glück mit einem Kennwort geschützte) Schlüsselbunddatei, die in der Regel alle Kennworte des Macs enthält. Der Benutzername von Apples Onlinedienst Mobile Me steht in "~/Library/Preferences/.GlobalPreferences.plist" und die dazugehörigen Mail-Dateien findet man dann in "~/Library/Mail".

Brian Mastenbrook (brian.mastenbrook.net/display/27) warnt seit 11. Januar 2009 vor dieser Lücke, bisher hat Apple noch nicht reagiert und Schutzmaßnahmen oder eine geänderte Version von Safari veröffentlicht. Da hinter den Kulissen andere Browser ebenfalls die Dienste von Safari (oder der zugrunde liegenden Bibliothek "WebKit") nutzen, ist die Gefahr in Omniweb, aber auch in Browsern wie Firefox, Camino oder Opera ähnlich hoch.

Es trifft sogar Windows-Benutzer, die Internetseiten mit Safari für Windows laden. Da für Windows kein Schutzmechanismus bekannt ist, kann man momentan nur von der Benutzung von Safari für Windows abraten.