Sicherheitsexperte: Safari + Firefox = Schwachstelle

Apple hat in der letzten Woche mit einer neuen Version seines Browsers Safari für Windows eine Reihe von Sicherheitslücken geschlossen, die unter anderem ausgenutzt werden konnten, um massenhaft Dateien auf den Desktop des Anwenders herunterzuladen.

Zwar hat man die Symptome mit Safari 3.1.2 bekämpfen können, das zu Grunde liegende Problem besteht aber offenbar weiterhin. So soll das im Zusammenhang mit den Sicherheitszoneneinstellungen des Internet Explorer auftretende Problem der automatischen Downloads ausführbarer Dateien zwar mit dem Update vom Donnerstag beseitigt worden sein.


Bei Systemen, auf denen Safari für Windows zusammen mit dem Alternativ-Browser Firefox installiert ist, besteht aber offenbar weiterhin ein Sicherheitsrisiko. Nach Angaben des Sicherheitsspezialisten Billy Rios kann die mit Version 3.1.2 eigentlich zu schließende "Teppichbomben"-Lücke dazu verwendet werden, um beliebige Dateien vom Rechner eines Angegriffenen zu stehlen, wenn Firefox installiert ist.

Ihm seien drei Methoden bekannt, mit denen der Angriff umgesetzt werden könne, so der Sicherheitsspezialist. Rios will vorerst keine weiteren Angaben zu der Attacke veröffentlichen. Die Hersteller der beiden betroffenen Programme sollen zunächst die Möglichkeit bekommen, die Schwachstellen zeitnah auszuräumen. Sowohl Apple, als auch Mozilla habe er bereits informiert.

Nach Angaben von Rios wird das Problem durch bestimmte Neuerungen in Firefox Version 3.0 zumindest stark begrenzt. Für die Nutzer der älteren Ausgabe 2.0 sei das Risiko deutlich größer. Ihm zufolge sind nicht die betroffenen Programme allein oder deren jeweiliger Hersteller an der Misere schuld. Vielmehr seien es die zunehmend komplexen Abhängigkeiten der Programme unter einander, die zur Gefahr werden können.

Weitere Informationen: Bill Rios' Weblog