Apple schließt fünf Sicherheitslücken in Safari für OS X

Apple hat neue Versionen seines Browsers Safari veröffentlicht, die insgesamt fünf Schwachstellen unter OS X 10.8.5 Mountain Lion, 10.9.5 Mavericks und 10.10.3 Yosemite beseitigen. Angreifer könnten sie ausnutzen, um mittels einer manipulierten Website die Kontrolle über das System zu übernehmen.

Die jetzt von Apple bereitgestellten Versionen sind Safari 8.0.6, Safari 7.1.6 und Safari 6.2.6. Sie schließen unter anderem drei von Apple selbst entdeckte Sicherheitslücken in der Browser-Engine WebKit (CVE-2015-1152, CVE-2015-1153, CVE-2015-1154). Konkret handelt es sich dabei um Speicherfehler, die Apple durch eine verbesserte Speicherverwaltung behoben hat, wie es in einem Support-Dokument schreibt. Sie können beim Besuch einer manipulierten Website zu einem plötzlichen Programmabsturz führen und so die Ausführung von Schadcode erlauben.

Außerdem wurde ein Sicherheitsloch in der WebKit History gestopft (CVE-2015-1155), auf das Joe Vennix von Rapid7 in Kooperation mit HPs Zero Day Initiative hingewiesen hatte. Es ermöglichte Angreifern aufgrund eines fehlerhaften Statusmanagements, Nutzerdaten auf Dateisystemebene zu kompromittieren. Auch hier mussten sie ihr Opfer dazu lediglich auf eine manipulierte Website locken.

Die fünfte Schwachstelle (CVE-2015-1156) betrifft den Ladeprozess von Webseiten in WebKit. Gemeldet hat sie Zachary Durber von Moodle. „Der Besuch einer schädlichen Website durch den Klick auf einen Link kann zu User Interface Spoofing führen“, beschreibt Apple die Auswirkungen. Dies sei auf ein Problem bei der Verarbeitung des Attributs rel in Ankerelementen zurückzuführen. Zielobjekte könnten so unautorisierten Zugriff auf Linkobjekte erhalten.

Die neuen Safari-Versionen können über die Softwareaktualisierung heruntergeladen und eingespielt werden. Betroffene Anwender sollten sie schnellstmöglich installieren.

Das letzte Update für Safari hatte Apple Anfang April verfügbar gemacht, zusammen mit zahlreichen Patches für seine Desktop-Betriebssysteme Mountain Lion, Mavericks und Yosemite. Mit ihm wurden insgesamt zehn Schwachstellen beseitigt, allein sieben davon in WebKit.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.