Apple schließt fünf Sicherheitslücken in Safari für OS X

Betroffen sind die Browser-Versionen 8.0.5, 7.1.5 und 6.2.5. Allein drei Schwachstellen stecken in der Browser-Engine WebKit und erlauben Remotecodeausführung beim Besuch einer manipulierten Website. Updates liegen für Mountain Lion, Mavericks und Yosemite vor.

Apple hat neue Versionen seines Browsers Safari veröffentlicht, die insgesamt fünf Schwachstellen unter OS X 10.8.5 Mountain Lion, 10.9.5 Mavericks und 10.10.3 Yosemite beseitigen. Angreifer könnten sie ausnutzen, um mittels einer manipulierten Website die Kontrolle über das System zu übernehmen.

Apple Safari Icon (Bild: Apple)Die jetzt von Apple bereitgestellten Versionen sind Safari 8.0.6, Safari 7.1.6 und Safari 6.2.6. Sie schließen unter anderem drei von Apple selbst entdeckte Sicherheitslücken in der Browser-Engine WebKit (CVE-2015-1152, CVE-2015-1153, CVE-2015-1154). Konkret handelt es sich dabei um Speicherfehler, die Apple durch eine verbesserte Speicherverwaltung behoben hat, wie es in einem Support-Dokument schreibt. Sie können beim Besuch einer manipulierten Website zu einem plötzlichen Programmabsturz führen und so die Ausführung von Schadcode erlauben.

Außerdem wurde ein Sicherheitsloch in der WebKit History gestopft (CVE-2015-1155), auf das Joe Vennix von Rapid7 in Kooperation mit HPs Zero Day Initiative hingewiesen hatte. Es ermöglichte Angreifern aufgrund eines fehlerhaften Statusmanagements, Nutzerdaten auf Dateisystemebene zu kompromittieren. Auch hier mussten sie ihr Opfer dazu lediglich auf eine manipulierte Website locken.

Die fünfte Schwachstelle (CVE-2015-1156) betrifft den Ladeprozess von Webseiten in WebKit. Gemeldet hat sie Zachary Durber von Moodle. „Der Besuch einer schädlichen Website durch den Klick auf einen Link kann zu User Interface Spoofing führen“, beschreibt Apple die Auswirkungen. Dies sei auf ein Problem bei der Verarbeitung des Attributs rel in Ankerelementen zurückzuführen. Zielobjekte könnten so unautorisierten Zugriff auf Linkobjekte erhalten.

Die neuen Safari-Versionen können über die Softwareaktualisierung heruntergeladen und eingespielt werden. Betroffene Anwender sollten sie schnellstmöglich installieren.

Das letzte Update für Safari hatte Apple Anfang April verfügbar gemacht, zusammen mit zahlreichen Patches für seine Desktop-Betriebssysteme Mountain Lion, Mavericks und Yosemite. Mit ihm wurden insgesamt zehn Schwachstellen beseitigt, allein sieben davon in WebKit.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Themenseiten: Apple, Browser, Safari, Secure-IT, Security

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Apple schließt fünf Sicherheitslücken in Safari für OS X

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *