Apple stopft 27 Sicherheitslücken in Safari

Apple hat seinen Browser Safari unter Mac OS X aktualisiert. Das Update stopft 27 Sicherheitslücken, von denen sich 26 nutzen ließen, um Code aus der Ferne auszuführen. Die 27. ermöglicht es ausgeführtem Code (auch solchem, der über eine der anderen Lücken eingeschmuggelt wurde), über die Sandbox des Browsers hinaus beliebige Dateien auszulesen.

Außerdem bietet Safari 7.0.3 Unterstützung von Adressen mit generischen Top-Level-Domains wie .berlin. Bisher resultierte das Aufrufen solcher in einer Fehlermeldung. Neu ist auch eine bessere Kontrolle von Push-Benachrichtigungen von Websites, die sich nun standardmäßig deaktivieren lassen, sodass häufige Anfragen diesbezüglich vermieden werden. Korrigiert wurde auch ein Problem, durch das mit dem Such- und Adressfeld eine Webseite geladen oder ein Suchbegriff gesendet wurde, bevor die Eingabetaste gedrückt wurde.

Wie bei Sicherheitsupdates von Apple häufig der Fall, sind zahlreiche der Schwachstellen schon länger bekannt. Die älteste, CVE-2013-2871, war im Mai 2013 gemeldet und von Google Chrome im Juli behoben worden. Zudem hat Apple viele davon vor Wochen mit einem Update für Apple TV und iOS 7.1 für seine Mobilgeräte behoben.

15 der Schwachstellen hat Googles Sicherheitsteam gemeldet. Diese Quote dürfte im Lauf der nächsten Monate und Jahre aber weniger werden, da Google nicht mehr gemeinsam mit Apple an der Browserengine Webkit arbeitet, sondern mit Blink einen eigenen Fork vorantreibt. Vorläufig kämpfen aber beide noch häufig mit den gleichen Sicherheitsproblemen. Apple selbst entdeckte drei der 27 Lecks.

Das Update ist für Safari Safari 6.1.3 und Safari 7.0.3 unter OS X Lion 10.7.5, OS X Lion Server 10.7.5, OS X Mountain Lion 10.8.5 und OS X Mavericks 10.9.2 verfügbar. Es kann über Software Update oder manuell über Apples Support-Website heruntergeladen und eingespielt werden. Nutzer von OS X 10.6 Snow Leopard bleiben ein weiteres Mal außen vor.

Das letzte Update für Safari hatte Apple Ende Februar verfügbar gemacht, zusammen mit Patches für Quicktime und einer neuen iTunes-Version. Damals wurden vier Sicherheitsprobleme in Webkit behoben.

Das Mobilbetriebssystem iOS war Mitte März auf die Version 7.1 aktualisiert worden. Das Update brachte Unterstützung für CarPlay und verbesserte den Sprachassistenten Siri sowie Touch ID. Darüber hinaus stopfte Apple 41 Sicherheitslöcher, von denen 19 alleine in der Browserengine WebKit steckten.

[mit Material von Larry Seltzer, ZDNet.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Safari 7.0.3 schließt 27 Sicherheitslücken