Thema: Safari für Windows - gespickt mit Sicherheitslücken

[SiLæncer]

Zahlreiche Sicherheitslöcher in neuem Windows-Browser gefunden

Nur wenige Stunden, nachdem Apple die öffentliche Beta-Version des Safari-Browsers für die Windows-Plattform vorgestellt hat, wurden bereits zahlreiche Sicherheitslecks im Browser gefunden. Angestachelt wurden die Sicherheitsexperten durch das Apple-Versprechen, dass Safari auf der Windows-Plattform von Anfang an hohe Sicherheit liefere. Wie sich zeigt, kann Apple dieses Versprechen nicht einlösen.

Der Sicherheitsexperte Thor Larholm berichtet von einem schweren Sicherheitsloch in der Windows-Version von Safari. Angreifer können damit beliebigen Programmcode ausführen und sich so eine umfassende Kontrolle über ein fremdes Windows-System verschaffen. Ein Opfer muss lediglich dazu gebracht werden, eine entsprechend präparierte Webseite aufzurufen.

Mit Aviv Raff hat ein weiterer Sicherheitsexperte einen Fehler in der Windows-Ausführung von Safari gefunden. Er schaffte es innerhalb kurzer Zeit, den Browser gezielt zum Absturz zu bringen. Möglicherweise kann dieses Sicherheitsloch auch zum Ausführen beliebigen Programmcodes missbraucht werden.

Raff merkte an, dass es sich bei der verfügbaren Version von Safari für die Windows-Plattform noch um eine Beta handele, bemängelte aber das "jämmerliche Versprechen" Apples, wonach der Safari-Browser von Beginn an hohe Sicherheit liefere. Durch das schnelle Auffinden der entdeckten Sicherheitslücken sieht Raff Apples Versprechen klar widerlegt.

Zudem berichtet David Maynor von Errata Security darüber, dass er insgesamt sechs Sicherheitslücken in der Windows-Ausführung von Safari entdeckt hat. Mit vier Sicherheitslecks sollen Denial-of-Service-Angriffe möglich sein, so dass Safari nicht mehr reagiert. Und zwei weitere Fehler sollen zum Ausführen von Programmcode missbraucht werden können. Maynor betont, dass er Apple ausdrücklich nicht auf die Fehler hinweisen werde - mit Verweis auf die Vertraulichkeitsvereinbarung von Errata Security.

Quelle : www.golem.de

[SiLæncer]

Apples Webbrowser Safari, der jüngst als Betaversion für Windows erschien, hatte einige Sicherheitslücken und Stabilitäts- sowie Darstellungsprobleme. Apple hat jetzt die Betaversion 3.0.1 nachgelegt, die einige der Sicherheitslücken schließen soll.

Insgesamt behebt Apple drei sicherheitskritische Fehler im Webbrowser, die allesamt lediglich die Windows-Plattform betreffen: Eine zu schwache Prüfung von URLs in Webseiten konnte zur Ausführung eingeschleusten Codes führen. Durch Speicherzugriffe außerhalb der reservierten Bereiche beim Verarbeiten präparierter Webseiten konnte der Browser abstürzen oder Schadcode ausführen. Außerdem enthält Safari 3.0.1 für Windows eine Cross-Site-Scripting-Lücke weniger, durch die JavaScript-Objekte auf andere Domains zugreifen oder im Kontext der anderen Domains ablaufen konnten.

Offenbar schließt die neue Version die von Thor Larholm entdeckte Lücke im Protokoll-Handler nicht, durch die eine Web-Seite Befehle auf dem System ihrer Besucher starten kann. Ob die von Aviv Raff und David Maynor gefundenen Sicherheitsprobleme behoben wurden, bleibt unklar. Da der Browser in Version 3.0.1 aber noch genauso instabil und unzuverlässig arbeitet wie bereits die Vorgängerversion, kann man von seinem Einsatz derzeit nur abraten.

Siehe dazu auch:

    * Safari Beta 3.0.1 for Windows, Sicherheitsmeldung und Ankündigung von Apple
    * Download der aktualisierten Safari-Betaversion 3.0.1 von Apple

    * Apples Safari ins Unvollkommene
    * Apple unterwandert den Windows-Schreibtisch
    * WWDC: Apple portiert Safari für Windows

Quelle und Links : http://www.heise.de/security/news/meldung/91164

[SiLæncer]

Apples Versuche, seinen Browser Safari auf die Windows-Plattform zu portieren, werden weiterhin von Sicherheitsspezialisten weltweit argwöhnisch beobachtet. In Apples aktuellem Wurf 3.0.2 wurden nun zwei Fehler entdeckt, die die Stabilität und die Sicherheit beeinträchtigen können. So unterstützt Safari Internationalized Domain Names (IDN), was die Verwendung länderspezifischer Umlaute und Sonderzeichen erlaubt. Durch Manipulation eines Links ist es möglich, dem Anwender in der Adresszeile eine andere URL vorzugaukeln. Phisher könnten diesen Fehler für ihre Zwecke missbrauchen.

Auf der Mailing-Liste Full Disclosure wurde dazu eine Demo gepostet, die das Problem vorführen soll. Eine sehr lange URL enthält spezielle Unicode-Zeichen im Domain-Namen, die als Whitespaces in der Adresszeile des Browsers dargestellt werden sollen. Damit wird laut Fehlerbericht nur der Anfang der Adresse dargestellt, der Rest wird rechts ausgerückt. Allerdings scheint es nicht auf allen Systemen zu funktionieren. Beim Test der heise-Security-Redaktion auf Windows XP SP2 wurden die Sonderzeichen dargestellt, ein Täuschungsversuch dürfte so nicht funktionieren. Abhängig davon, welche Fonts auf dem System installiert sind, kann die Demo aber wie beschrieben funktionieren. Der Autor des Fehlerberichts hat seinem Posting ein Bild beigefügt, auf der ein erfolgreicher Täuschungsversuch zu sehen ist. Probleme mit IDN traten früher schon bei Firefox und Mozilla auf.

Zudem führt ein Fehler beim Anlegen von Bookmarks mit einem mehr als 1024 Zeichen langen Titel zu einem Buffer Overflow. In der Folge stürzt der Browser beim Hinzufügen des Bookmarks ab. Ob damit auch das Einschleusen und Ausführen von Schadcode möglich ist, steht noch nicht fest. In der ersten Version von Safari ließ sich auch mit präparierten URLs Schadcode in den Rechner schleusen.

Zwar ist die Windows-Version von Safari weiterhin eine Beta-Version, die nicht für den produktiven Einsatz gedacht ist, allerdings taugt sie im derzeitigen Zustand allenfalls als äußerst wackelige Preview, um sich mit den Funktionen vertraut zu machen. Apple täte gut daran, ein eigenes Team mit einem Code-Review zu betrauen, um weitere Fehler selbst zu finden und zu bereinigen – derzeit hat es den Anschein, als würde sich nur die Community mit der Qualitätssicherung des Browsers beschäftigen.

Quelle : www.heise.de

[SiLæncer]

Apples hat den Webbrowser Safari 3 für Windows überarbeitet und stellt mehr als drei Monaten nach der letzten Beta die vierte Vorschauversion zum Download bereit. Darin hat das Unternehmen mehrere, teils kritische Schwachstellen abgedichtet und neue Funktionen hinzugefügt.

Zwei Sicherheitslücken erlauben Angreifern, mit manipulierten Webseiten beliebigen Programmcode einzuschleusen und auszuführen. Die eine Lücke reißt der fehlerhafte Umgang mit der Statuszeile des Browsers auf, die andere die verwundbare Freetype-Version, die Apple einsetzt. Die weiteren Schwachstellen ermöglichen Cross-Site-Scripting-Angriffe oder erlauben Angreifern, vertrauliche Informationen auszuspähen. Ein Lücke erlaubt es, auf per HTTPS übertragene Inhalte innerhalb derselben Domain zuzugreifen und diese sogar zu manipulieren.

Aber auch kosmetische Änderungen hat Apple dem Browser angedeihen lassen. Das Programmfenster kann nun an allen Seiten vergößert oder verkleinert werden. Außerdem steht eine neue Methode zum Weichzeichnen von Zeichen (Anti-Aliasing) zur Verfügung. Safari berücksichtigt jetzt auch die Proxy-Einstellungen aus der Systemsteuerung und kann Proxy-Daten automatisch via Proxy Auto-Config (.pac-Dateien) empfangen. Weitere Neuerungen umfassen die Möglichkeit, jetzt auch Dateien auf FTP-Servern aufzulisten, die Unterstützung für internationale Eingabemethoden, eine Cookie-Verwaltung sowie eine Rechtschreib- und Grammatik-Prüfung. Allgemein will Apple die Stabilität des Browsers sowie die Geschwindigkeit etwa von JavaScript verbessert haben.

Wer trotz Apples Warnung, die Software nicht in kommerziellen Umgebungen und mit wichtigen Daten zu nutzen, die vorhergehende Safari-Beta einsetzt, sollte schleunigst die aktualisierte Fassung herunterladen und einspielen. Andernfalls öffnet man Angreifern Tür und Tor, die nun bekannten kritischen Sicherheitslücken ausnutzen.

Siehe dazu auch:

    * About the Safari 3 Beta Update 3.0.4 for Windows, Übersicht zur Safari-Beta 4 von Apple
    * About the security content of Safari 3 Beta Update 3.0.4, Übersicht zu den geschlossenen Sicherheitslücken in Safari-Beta 4 von Apple
    * Download der aktualiserten Safari-Beta

Quelle und Links : http://www.heise.de/security/news/meldung/99014/Apples-Windows-Safari-geht-in-die-vierte-Beta-Runde

[SiLæncer]

Eine Cross-Site-Scripting-Lücke in Safari betrifft den Webbrowser nicht nur unter Mac OS X, sondern auch die Beta-Version für Windows. Apple stellt zusätzlich zum Update für Mac OS X eine aktualisierte Version für die unterstützten Windows-Versionen zur Verfügung.

Angreifer können durch die Schwachstelle Webseiten, die auf Frames basieren, fremde Inhalte unterschieben und beispielsweise Skriptcode im Sicherheitskontext der Webseite ausführen. Auch das Ausspähen von Informationen wie Cookies ist möglich. Die aktualisierte Software-Version, die auf der Safari-Seite von Apple zum Download bereitsteht, schließt das Sicherheitsleck. Weitere Fehler korrigiert sie nicht.

Siehe dazu auch:

    * Informationen über den Sicherheitsinhalt von Safari 3 Beta Update 3.0.4 für Windows, Sicherheitsmeldung von Apple
    * Übersicht zu Safari mit Download-Link für die Beta-Version mit integriertem Sicherheitsupdate

Quelle und Links : http://www.heise.de/security/news/meldung/100729/Cross-Site-Scripting-Luecke-in-Apples-Windows-Safari

[SiLæncer]

Nicht nur beispielsweise die Webbrowser-Entwickler der Mozilla-Foundation haben so ihre Probleme damit, keine neuen Bugs mit Security-Fixes einzuführen. Nun muss auch Apple einen Bugfix für ein Security-Update nachschieben.

Anfang der Woche hatte Apple einen Packen mit Patches für insgesamt 31 Sicherheitslücken in Mac OS X veröffentlicht. Darin enthalten war auch ein Bugfix für den Webbrowser Safari: Apple schloss eine Cross-Site-Scripting-Lücke in dem hauseigenen Webbrowser und schob auch gleich ein Update für die Safari-Beta unter Windows nach, das die gleiche Lücke stopfte.

Apple arbeitet diese Updates nun nach: Sowohl für die Mac-OS-X-Variante als auch für die Windows-Version von Safari gibt es eine neue Version des Sicherheitspatches. Laut Apple führte das Security-Update 2007-009 für Mac OS X beziehungsweise die Safari 3 Beta Update 3.0.4 für Windows dazu, dass der Webbrowser beim Besuchen bestimmter Seiten unerwartet die Arbeit beendete.

Unter Mac OS X lässt sich das Security-Update 2008-009 1.1 über ein schon eingerichtetes Security-Update 2007-009 installieren – allerdings kommen erneut ein paar MByte an Download für das komplette Update auf die Anwender zu: Bei den einzeln erhältlichen Download-Paketen sind dies bei Mac OS X 10.4.11 rund 27,4 MByte für die Intel/Universal-Version und 15,9 MByte bei der Fassung für PowerPC-Systeme; 35,6 MByte beansprucht das Update von Mac OS X 10.5.1. Einen separaten Patch nur für den Safari-Fehler bietet Apple nicht an.

Auch das Safari 3 Beta 3.0.4 Security Update v1.1 kann direkt auf das vorangegangene Update 3.0.4 installiert werden; es steht über Apples Safari-Seiten zum Download bereit. Anwender, die die erste Fassung des Mac-OS-X-Updates oder der neuen Windows-Safari-Beta bislang nicht genutzt haben, können direkt die korrigierten Fassungen einspielen; die alte Version steht auf Apples Webseiten auch nicht mehr zum Download zur Verfügung.

Siehe dazu auch:

    * Apple patcht zahlreiche Lücken in Mac OS X
    * Cross-Site-Scripting-Lücke in Apples Windows-Safari

    * About Security Update 2007-009 v1.1, Knowledgebase-Eintrag von Apple
    * About Safari 3 Beta 3.0.4 Security Update v1.1, Knowledgebase-Eintrag von Apple

    * Security Update 2007-009 1.1, Downoad für Mac OS X 10.4.11 Universal
    * Security Update 2007-009 1.1, Download für Mac OS X 10.4.11 PPC
    * Security Update 2007-009 1.1, Download für Mac OS X 10.5.1

    * Übersichtsseite zu Safari, mit Downloadlink zur Windows-Version von Apples Webbrowser

Quelle und Links : http://www.heise.de/security/news/meldung/101012/Apple-korrigiert-Sicherheits-Update-fuer-Webbrowser-Safari

[SiLæncer]

Eine Lücke in Apples Webbrowser Safari soll manipulierten Webservern den Zugriff auf die Festplatte ermöglichen, schreibt Brian Mastenbrook in seinem Blog. Darüber sei es möglich, E-Mails, Passwörter, Cookies und andere Daten auf dem Rechner auszulesen.

Mastenbrook hat bereits mehrfach Lücken in Software von Apple entdeckt und gemeldet. Die Ursache der neuen Lücke nennt er zwar nicht, sie steht aber offenbar in Zusammenhang mit RSS-Feeds, für die unter Mac OS X standardmäßig Safari zuständig ist. Apple soll das Problem bestätigt haben. Wann es ein Update gibt, steht aber noch nicht fest.

Mastenbrook empfiehlt als Abhilfe, unter Mac OS X eine alternative Anwendung statt Safari für RSS-Feeds zu benutzen, beispielsweise Mail. Anwender der Windows-Version von Safari sollen betroffen sein, sobald sie den Browser zum Surfen benutzen. Daher sei als praktikabler Workaround nur der Einsatz eines anderen Browsers zu empfehlen.

Quelle : www.heise.de

[SiLæncer]

Apples Sicherheits-Update 2009-001 schließt zahlreiche Sicherheitslücken in Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6 und Mac OS X Server v10.5.6, von denen sich mehrere zum Einschleusen und Ausführen von Code missbrauchen lassen. Dazu gehört auch die Mitte Januar gemeldete Lücke im Browser Safari. Durch präparierte RSS-Feeds ist es möglich, JavaScript in der lokalen Sicherheitszone auszuführen. Für die Windows-Version von Safari 3.2.2 steht ein gesondertes Update bereit.

Die anderen Schwachstellen in Mac OS X betreffen etwa X11, Samba, Squirrelmail, Python, perl, CUPS, CFNetwork, Clamav, AFPServer und CarbonCore. Allerdings ist nicht jede Lücke in jeder Mac-OS-X-Version zu finden. Das Update ist je nach Zielplattform zwischen 43 MByte (Leopard) und 213 MByte (Server Universal) groß.

Darüber hinaus hat Apple Java for Mac OS X 10.5 Update 3 und Java for Mac OS X 10.4, Release 8 veröffentlicht. Beide Versionen sollen mehrere Schwachstellen in Java Web Start und dem Java Plug-in beseitigen. Auch hier ermöglicht eine Lücke sonst einem Angreifer, Code auf das System eines Opfers zu schleusen und auszuführen. Dazu genügt der Besuch einer präparierten Webseite.

Quelle : www.heise.de

[SiLæncer]

Update für Apples Browser unter MacOS X und Windows

Mit einem Update für den Browser Safari 4 beseitigt Apple zwei Sicherheitslücken. Zumindest eine davon ist als kritisch einzustufen, da sie Angreifern möglicherweise die Ausführung von Code erlaubt.
Das Safari-Update beseitigt Fehler, die sowohl die Version für MacOS X als auch für Windows betreffen. Ein fehlerhafter Umgang mit numerischen Zeichenreferenzen kann zum Absturz des Browsers und möglicherweise zum Ausführen von fremdem Code führen, warnt Apple. Dazu genügt es, eine entsprechend präparierte Website aufzurufen.

Der zweite Fehler hängt mit der Behandlung von Eltern- und Topobjekten zusammen und erlaubt Cross-Site-Scripting-Angriffe. Auch hier müssen Nutzer lediglich dazu gebracht werden, eine entsprechend präparierte Website aufzurufen.

Das Update auf Safari 4.0.2 behebt beide Fehler. Die Software steht unter support.apple.com für MacOS X und Windows zum Download bereit und wird zudem über Apples Updatemechanismus verteilt.

Quelle : www.golem.de

[SiLæncer]

Apple hat Safari 4.0.4 für Windows 7, Vista, XP und Mac OS X (10.4.x bis 10.6.x) veröffentlicht, in der sieben Sicherheitslücken beseitigt sind. Zwei der Lücken stuft Apple als kritisch ein, da sich dadurch Schadcode in einen Rechner schleusen und starten lässt. Allerdings sind laut Bericht davon nur die Windows-Versionen betroffen. Dabei genügt es, ein präpariertes Bild in einer Webseite zu öffnen oder mit Safari die Verzeichnisstruktur eines manipulierten FTP-Servers zu durchforsten.

Weitere Schwachstellen in libxml und Webkit können sowohl unter Windows als auch unter Mac OS X dazu führen, dass Anwendungen abstürzen oder den Inhalt lokaler HTML-Dateien preisgeben und dass Angreifer Cross-Site-Request-Forgery-Attacken durchführen können. Zudem führt die Verarbeitung von HTML-5-Media-Elementen etwa in Mails dazu, dass die Anwendung automatisch Audio- oder Videoinhalte nachlädt, ohne beim Anwender nachzufragen. Angreifer können dies beispielsweise ausnutzen, um festzustellen, ob der Empfänger eine Mail geöffnet hat – also ein klassischer "Web Bug". Dieses Problem tritt jedoch nicht in der Windows-Version auf.

Quelle : www.heise.de

[SiLæncer]

Der Sicherheitsanbieter Secunia warnt vor einer kritischen Lücke in Apples Safari-Browser. Betroffen ist die aktuelle Version 4.0.5 und möglicherweise auch ältere Programmversionen. Ruft man mit Safari unter Windows eine Webseite auf, die den Exploit enthält, kann dieser Zugriff auf das System erlangen und den Browser zum Absturz bringen oder Schadcode ausführen. Ursache ist ein Fehler im Umgang mit Pop-Up-Fenstern.

Die auf Secunia hinterlegte Demonstration soll unter Windows XP mit Service Pack 2 mittels Shellcode den Taschenrechner öffnen. Derzeit sind noch keine Fälle bekannt, in denen die Lücke auch verwendet wird. Dennoch sollten Anwender grundsätzlich keinen Links auf nicht vertrauenswürdigen Seiten folgen.

Quelle : www.heise.de

[SiLæncer]

Ein Update auf Apples neueste Version seines Browsers beschert dem Anwender nicht nur neue Funktionen, sondern auch ein erheblich geringeres Risiko, Opfer eines Angriff durch präparierte Webseiten zu werden.

Insgesamt 48 Lücken schließen die Updates auf Safari 4.1 und 5. Allein 44 der Lücken finden sich in WebKit, der freien HTML-Render-Engine. Viele der Lücken sind kritisch, da sie laut Apple das Einschleusen und Ausführen von Code ermöglichen.

Zu den nun geschlossenen Lücken zählt auch der vor vier Wochen gemeldete Fehler im Umgang mit Pop-up-Fenstern. Das Update 4.1 steht nur für Mac OS X bereit, Version 5 bietet Apple sowohl für sein Betriebssystem als auch für Windows an.

Quelle : www.heise.de

[SiLæncer]

Apple hat die Safari-Updates 5.0.2 und 4.1.2 für Windows und Mac OS X veröffentlicht, die kleinere Fehler beheben und Sicherheitslücken  schließen. Bei den Lücken handelt es sich um zwei Schwachstellen in der Render-Engine WebKit, die sich zum Einschleusen und Starten von Schadcode aus der Ferne ausnutzen lassen. In der Windows-Version wurde zusätzlich die Schwachstelle beim Nachladen von DLLs über das Netz beseitigt.

Darüber hinaus hat Apple ein Problem beim Versand von Web-Formularen und der fehlerhaften Anzeige von Inhalten in Zusammenhang mit dem Flash Player 10.1 gelöst. Zudem nimmt Safari nun eine verschlüsselte und authentifizierte Verbindung zur Erweiterungsgalerie von Safari auf.

Quelle : www.heise.de

[SiLæncer]

Mit dem Update auf Version 5.0.3 für Windows und Mac OS X hat Apple zahlreiche Lücken in der WebKit-Engine seines Safari-Browsers geschlossen, von denen Angreifer nicht weniger als 23 zum Einschleusen von Schadcode missbrauchen können. Unter den Sicherheitslücken finden sich Integer Over- und Underflows sowie zahlreiche Fehler in der Speicherverwaltung, unter anderem in Verbindung mit der Geolocation-API und der Behandlung von SVG-Dokumenten.

Zudem hat Apple Probleme bei der Darstellung von Flashinhalten sowie der Nutzung der Suchfunktion von Facebook und Netflix beseitigt. Verbessert wurde die Stabilität beim Einsatz JavaScript-lastiger Erweiterungen. Der Popup-Blocker soll laut Herstellerangaben nun zuverlässiger funktionieren. Für Nutzer von Mac OS Tiger bietet der Hersteller die ebenfalls aktualisierte Safari-Version 4.1.3 zum Download an.

Quelle : www.heise.de