Kritische Sicherheitslücke in Safari entdeckt (Update)

13. Mär 2014 16:30 Uhr - sw

Google-Sicherheitsexperten haben eine schwerwiegende Schwachstelle in Apples Web-Browser Safari aufgespürt, die Angreifern das Ausführen von Code mit Root-Zugriffsrechten in OS X ermöglicht.

Google demonstrierte die Sicherheitslücke im Rahmen des Hacker-Wettbewerbs Pwn2Own. Demnach kann die Schwachstelle ausgenutzt werden, indem eine entsprechend präparierte Web-Site aufgerufen wird. Google zeigte dies anhand des Öffnens des OS-X-Taschenrechners – stattdessen hätten aber auch andere Aktionen mit Root-Rechten gestartet werden können. Angreifer könnten Anwender beispielsweise mit gefälschten E-Mails auf manipulierte Web-Sites locken, um in Macs einzudringen.

Google hat Apple über die Schwachstelle in Kenntnis gesetzt. Details wurden aus Sicherheitsgründen nicht veröffentlicht. Der Mac-Hersteller hat sich zu dem Thema bislang nicht geäußert, so dass derzeit unklar ist, wann ein Update für Safari erscheint.

Auf dem Hacker-Wettbewerb wurden, unter Windows, auch kritische Sicherheitslücken in Adobe Reader, Firefox, Flash Player und Internet Explorer demonstriert.

Nachtrag (14. März): Bei Pwn2Own wurde eine zweite Sicherheitslücke in Safari demonstriert, die ebenfalls die Einschleusung von Schadcode ermöglicht.

Kommentare

Google und Apple verwenden das gleiche WebKit, oder?

Google bezahlt User für das Melden von Sicherheitslücken.
Google hat also eine Sicherheitslücke gemeldet bekommen,
und eine kleine Textwebseite mit Script zum Ausnutzen des Bugs programmiert.
Anschließend mit dem Safari die Textwebseite angesteuert, und schon hat Google einen zweifelhaften PR-Erfolg.

Der gleiche Bug in Chrome wurde natürlich von Google sofort gefixt.

Nachtrag:
In anderen Foren wird spekuliert, dass garnicht Safari betroffen ist, sondern ein PlugIn, Java oder Flash Player.
Das wäre dann extrem Boshaft von Google.

Da wird sicher noch die Wahrheit rauskommen - ich bin gespannt.

Ich benutze den Browser schon länger nicht mehr, da es für Safari unter 10.6.8 schon länger keine Sicherheitsupdates gibt. Zum Glück gibt es ja einige Alternativen.

Ja, aber die anderen Browser sind leider sehr schlecht ins System integriert. So haben sie nicht die systemweite Rechtschreibprüfung und Textersetzungen, und auch nicht die wichtigen systemweiten Shortcuts im Text. Außerdem werden Lesezeichen nicht mit iOS synchronisiert, keine Leseliste mit iOS, keine Cloudtabs, nutzt nicht den systemweiten Schlüsselbund usw. usw. usw. Damit sind sie nahezu unbrauchbar!

von Opera 12.16.
Wie immer kommts darauf an, was man für Ansprüche bzw. Prioritäten hat.
Für mich ist es ein starker Sicherheitsgewinn, nicht den System Browser zu benutzen. Denn dieser ist immer der Handlanger für Angriffe übers Internet.

Darüberhinaus bietet Opera 12.16 Komfortmerkmale beim Surfen, die es wohl leider nie wieder geben wird; dagegen sind Safari Firefox usw. Steinzeit.

Und meine Lesezeichen sind, genau so wie meine anderen Daten und Dateien, nicht für NSA-Land bestimmt, sondern bleiben auf meinen Rechnern.
Klar ist so das Synchron halten Umständlich, aber so ist es nunmal im Leben: Man muß sich entscheiden.

Ich schätze bei Firefox die Möglichkeit, Cookies generell bis auf ganz wenige gezielte Ausnahmen komplett zu blocken. Gibt´s so eine Möglichkeit auch bei Safari oder anderen Browsern? War für mich der Hauptgrund, Safari nicht zu benutzen.