Automatischen Ausfüllen von Formularfeldern in Safari unzureichend geschützt
Wie Sicherheitsexperte Jeremiah Grossman in seinem Blog berichtet, ist mit der Safari-Aktualisierung auf Version 5.0.1 eine Sicherheitslücke teilweise zurückgekehrt. Es handelt sich um eine Lücke im Zusammenhang mit dem automatischen Ausfüllen selbst, die Apple kurz vor der letzten Black Hat Konferenz bereits geschlossen hatte. Über die Sicherheitslücke können
Angreifer sensible Daten des Opfers abgreifen, die im persönlichen Adressbuch-Eintrag hinterlegt sind. Im Gegensatz zur vorherigen Sicherheitslücke ist es dieses Mal allerdings etwas schwieriger geworden, die Daten auszulesen. Im Zuge eines komplexeren Formulars oder einer Web-Anwendung muss das Opfer dazu gebracht werden, den passenden Anfangsbuchstaben sowie die Tab-Taste zu drücken. Die eigentlichen Formular-Felder können vom Angreifer durch verschiedene Tricks aber so versteckt werden, dass der Angriff unbemerkt bleibt. Damit ein derartiger Angriff verhindert werden kann, muss Apple in Safari sicherstellen, dass bei aktivem AutoFill sich das entsprechende Formular-Feld im sichtbaren Fenster-Bereich befindet und zudem nicht durch andere Elemente verdeckt wird. Bis zur Behebung der Lücke sollten Anwender das automatische Ausfüllen beschränken, indem sie "Informationen meiner Adressbuch-Visitenkarte übernehmen" in den Safari-Einstellungen ausschalten.
Weiterführende Links: