Apple hat in der Nacht zum Donnerstag seinen Browser Safari aktualisiert. Die neuen Versionen 7.0.4 und 6.1.4 sind laut Apple reine Sicherheitsupdates, liefern also keine neuen Funktionen. Wie aus einem Support-Dokument hervorgeht, schließen sie insgesamt 22 Lücken.
Bei 21 davon handelt es sich um Memory-Corruption-Bugs in der Browser-Engine WebKit. Sie erlauben es Angreifern, den Browser abstürzen zu lassen oder Schadcode auszuführen, indem sie den Nutzer auf eine manipulierte Webseite locken. Diese Probleme hat Apple nach eigenen Angaben durch eine verbesserte Speicherverwaltung behoben.
Die 22. Schwachstelle geht auf ein Encoding-Problem bei der Handhabung von Unicode-Zeichen in URLs zurück. Eine manipulierte Website kann so Nachrichten an einen verknüpften Frame oder ein Fenster schicken, um die Herkunftsüberprüfung (Origin Check) des Empfängers zu umgehen.
Neun der jetzt beseitigten Fehler hat das Google Chrome Security Team entdeckt. Diese Quote dürfte im Lauf der nächsten Monate und Jahre aber weniger werden, da Google nicht mehr gemeinsam mit Apple an der Browserengine WebKit arbeitet, sondern mit Blink einen eigenen Fork vorantreibt. Vorläufig kämpfen aber beide noch häufig mit den gleichen Sicherheitsproblemen. Apple selbst machte sechs der 22 Lecks ausfindig.
Safari 7.0.4 steht für OS X Mavericks ab 10.9.3 zur Verfügung. Die Browser-Version 6.1.4 liegt für OS X Lion und OS X Lion Server ab 10.7.5 sowie OS X Mountain Lion ab 10.8.5 vor. Die Aktualisierungen können über Software Update oder manuell über Apples Support-Website heruntergeladen und eingespielt werden. Nutzer von OS X 10.6 Snow Leopard bleiben ein weiteres Mal außen vor.
Das letzte Update für Safari hatte Apple Anfang April verfügbar gemacht. Damals wurden insgesamt 27 Sicherheitsprobleme in WebKit behoben.
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…