Menü
Alert!
Security

Update schließt kritische Safari-Lücke auf Mac OS

Von
vorlesen Drucken Kommentare lesen 51 Beiträge

Ein einfacher JavaScript-Befehl startet beliebige Programme auf einem Mac mit Lion.

Das Update auf Mac OS X 10.7.2 bringt nicht nur iCloud sondern schließt nebenbei einige kritische Sicherheitslücken. Und mindestens eine hat es wirklich in sich. Mac-Anwender sollten deshalb unverzüglich ein Update starten.

Das darin enthaltene Update auf Safari 5.1.1 schließt gleich mehrere Lücken. Doch die mit der ID CVE-2011-3230 ist besonders kritisch, weil sie erstens sehr einfach auszunutzen ist und zweitens bereits öffentliche Demos dafür existieren. Im Wesentlichen läuft es darauf hinaus, dass eine Web-Seite durch einen einfachen JavaScript-Befehl beliebige Programme auf dem Mac starten kann. Die Ursache des Problems ist, dass die LaunchServices lokale file://-URLs nicht richtig behandeln, sondern im Wesentlichen das zugehörige Programm starten.

Der Entdecker der Lücke, Aaron Sigel, hat das Problem offenbar zunächst Apple gemeldet und stellt erst jetzt entsprechenden Demo-Code bereit. Der funktionierte in einem Kurztest von heise Security reibungslos und startete das Kommando netstat oder zeigte die lokale Datei /etc/passwd an. Das Problem ließ sich sowohl mit Lion als auch mit Snow Leopard reproduzieren. Ganz trivial ist eine Infektion eines Rechners mit Schadsoftware auf diesem Weg noch nicht, da sich das Programm bereits auf dem System befinden muss und nicht klar ist, wie man die Programme steuern kann, um gezielte Aktionen durchzuführen. Doch man darf getrost annehmen, dass sich Mittel und Wege dazu finden. Die Windows-Version von Safari ist anscheinend nicht anfällig.

Wer allerdings die Festplatten-Verschlüsselung von Lion einsetzt ("filevaulted system"), muss vorsichtig zu Werke gehen. Es häufen sich die Berichte , dass nach dem Mac-OS-Update das System nicht mehr bootete. Auch wer Symantecs Verschlüsselungssoftware PGP ohne Festplattenverschlüsselung nutzt, muss anscheinend mit Problemen rechnen. Die Ursache ist derzeit noch nicht ganz klar; sobald wir einen risikofreien Weg kennen, die Updates trotzdem einzuspielen, werden wir ihn hier veröffentlichen. (ju)