In der vergangene Woche von Apple veröffentlichten Version 3.1 des Webbrowsers Safari hat der argentinische Hacker Juan Pablo Lopez Yacubian zwei Sicherheitslücken entdeckt, durch die Angreifer Seiteninhalte fälschen oder möglicherweise sogar Schadcode einschleusen können.

Windows-Safari 3.1 ermöglicht es Angreifern, Seiteninhalte zu fälschen.

Yacubian hat zwei Demonstrationsseiten erstellt, die die Lücken in Safari 3.1 (Build 525.13) unter Windows vorführen. Da Geocities jedoch eigenen HTML-Code in die Seiten integriert, sind kleine Nacharbeiten zum Entfernen des Geocities-Codes nötig, um die Seiten funktionsfähig zu machen. Die eine Seite schob im Test der Seite von Google Argentinien mit etwas JavaScript falsche Inhalte unter, während die ZIP-Datei mit sehr langem Dateinamen auf der zweiten Seite dazu führte, dass Safari ohne weitere Meldung abstürzte und vom Desktop verschwand. Unter Mac OS X konnten wir die Fehler anhand der Demoseiten jedoch nicht nachvollziehen.

Ein Update, das die Lücken schließt, gibt es bislang noch nicht. Safari-Nutzer insbesondere unter Windows sollten bis zur Veröffentlichung einer aktualisierten Safari-Version daher keinen Links aus E-Mails oder auf Webseiten zu Angeboten folgen, auf denen etwa persönliche Daten wie Logins zum Online-Banking abgefragt werden.

Siehe dazu auch: