Alert! Weitere Details zur Lücke in Apples Safari

Zu der kürzlich gemeldeten Lücke in Apples Browser Safari sind nun weitere Einzelheiten veröffentlicht worden. Laut einem Eintrag im Blog des Sicherheitsdienstleisters Matasano Security, für den der Entdecker der Lücke und Gewinner des Hack-a-Mac-Wettbewerbs Dino Dai Zovi arbeitet, steckt die Lücke nicht in Safari, sondern in Apples Mediaplayer QuickTime. Die Lücke soll in der Verarbeitung des Players von Java-Code zu finden sein. Als Einfallstor muss daher nicht zwangsläufig Safari herhalten, der Angriff kann auch über Firefox erfolgen.

Zudem sollen nicht nur die PCs von Mac-OS-X-Anwendern gefährdet sein, auch Windows-PCs sind verwundbar, wenn der Anwender Firefox, Java und QuickTime benutzt. Abhilfe schafft derzeit nur, Java im Browser zu deaktivieren. Im Firefox ist diese Einstellung unter Firefox/Einstellungen/Inhalt bei Mac OS X und Extras/Einstellungen/Inhalt unter Windows zu finden, im Safari unter Safari/Einstellungen/Sicherheit.

Im Rahmen eines auf der Sicherheitskonferenz CanSecWest stattfindenden Wettbewerbs Hack-a-Mac "PWN to own" hatte Dai Zavi zusammen mit Shane Macaulay ein vollständig gepatchtes MacBook Pro mit Mac OS X 10.4.9 über eine präparierte Webseite gehackt und dafür 10.000 US-Dollar Preisgeld kassiert.

Siehe dazu auch:

• MacBook Vuln In Quicktime, Affects Win32 Apple Code, Blogeintrag von Matasano Security

(dab)