Apple-Webbrowser Safari: Fehler oder Feature?

Nitesh Dhanjani hat drei Fehler in Apples Webbrowser Safari entdeckt, bei denen die Meinungen über die Tragweite auseinandergehen. Eine der Lücken, zu denen Dhanjani keine Details nennt und durch die Angreifer lokale Dateien stehlen können, will Apple mit einem zukünftigen Update abdichten. Die anderen Fehler seien jedoch keine Sicherheitslücken, meint Apple laut Dhanjanis Blog-Eintrag.

Dhanjani zufolge kann ein Webserver, der etwa per CGI-Skript automatisch Dateien ausliefert, den Content-Type auf einen Wert setzen, den Safari nicht kennt. Während Browser wie der Internet Explorer oder Firefox in so einem Fall nachfragen, ob der Anwender die Datei abspeichern möchte, legt Safari sie einfach im Standardverzeichnis für Downloads ab – unter Mac OS X ist das das Download-Verzeichnis, unter Windows der Desktop.

Angreifer könnten das Verhalten von Safari missbrauchen, um etwa den Desktop eines Nutzers zuzumüllen oder um Schadcode auf dem Desktop abzuspeichern. Mit Social-Engineering-Tricks könnte er Anwender dann neuigierig machen und überzeugen, diese Datei zu öffnen. Im Zusammenspiel mit weiteren Lücken könnte vielleicht auch eine automatische Ausführung der Datei möglich sein. Apple denkt laut Dhanjani darüber nach, eine Nachfrage einzubauen.

Der dritte Fehler betrifft Dhanjani zufolge clientseitiges Scripting in lokalen HTML-Dateien. Davor würden die anderen Browser ebenfalls warnen. Das würden die Anwender auch von einem modernen Browser erwarten – schließlich sei ihnen das Risiko beim Ausführen einer .exe-Datei durchaus bewusst, dass eine HTML-Datei jedoch Code ausführt, eher nicht. Es handelt sich dabei aber auch nach Dhanjanis Einschätzung nicht um eine Sicherheitslücke, sondern um eine Erweiterung.

Siehe dazu auch:

• Safari Carpet Bomb, Blog-Eintrag von Nitesh Dhanjani

(dmk)