Push-Nachrichten von MacTechNews.de

Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Sicherheitslücke in Safari, Text wird manchmal als HTML gerendert

In Safari wurde kürzlich eine Sicherheitslücke entdeckt. Es handelt sich dabei um einen Fehler, bei dem Safari in manchen Fällen Text als HTML rendert, da der Header HTTP ’Content-type’ ignoriert wird. Diese Lücke kann für Skript-Angriffe missbraucht werden, was eine der häufigsten Sicherheitsprobleme heutiger Web-Designer ist. Momentan steht noch keine Fehlerbehebung zur Verfügung, allerdings dürfte Apple auch diesmal recht schnell reagieren und ein Sicherheitsupdate veröffentlichen, auch wenn viele nicht von diesem Fehler betroffen sind. Eine ausführlichere Beschreibung finden Sie über den angegebenen Link.

Weiterführende Links:

securitytracker.com

Update-Abend: macOS 15.1.1, iOS 18.1.1, iPadOS ...

macOS 15 Sequoia ist da – Apple hat den Startsc...

Mac mini M4

Test AirPods Pro 2

Gescheitert: iPhones von Robotern statt Arbeite...

Vor 30 Jahren: Apple holt Sanierer – kann das s...

Visa sah Apple als "existenzielle Bedrohung" an

Beddit ist Geschichte, Apple entfernt Apps

Kommentare

Mike Sina07.02.05 11:49

Viel mir bei gewissen Pages auf das die Darstellung des Textes nicht richtig dargestellt wurde. Das dies aber bereits eine Sicherheitslücke ist =-O

Fenvarien07.02.05 11:51

Es geht nicht um die Darstellung, sondern um das Rendern von Text als HTML. Das dürfte generell nicht passieren, wenn der Header richtig gelesen würde.
Wie schlimmen Schaden man damit nun wirklich anrichten kann, ist eine andere Frage ...

Up the Villa!

Shaggy-Alienfood07.02.05 12:24

zzzzzzzzzzzz

Aronnax07.02.05 12:39

Die Lücke ist scheinbar sehr theoretisch.

Ausser einen Webbug einbauen zu können - fällt mir da nichts ein , was man hier als Sicherheitproblem ansehen könnte.

Ist sowas dann auch
Cross-Site Scripting - eigentlich doch nicht, oder?

Hat jemand eine "bessere" Idee.

----------

Heise meldet gerade ein anderes (sicher sehr viel schlimmeres) Sicherheitsproblem.

und hier ist Safari (und alle anderen, ausser der IE) ebenfalls betroffen.
Obwohl die Browser 100% korrekt arbeiten - sowas dummes aber auch
(sick)

oliver kurlvink07.02.05 12:46

Das Problem ist hierbei die Darstellung der URL in der Adressleiste. Würden hier die Zeichen in der korrekten Ladenssprache angezeigt werden (also ein kyrillisches a als kyrillisches a), so würde es kein Problem geben. Da aber ein kyrillisches a als "a" angezeigt wird, kann man es natürlich nicht unterscheiden. Hier schirmen einen die Browser also zu gut ab. Gerade für Safari sollte das aber kein Problem sein, da das OS standardmäßig alle Fonts mitinstalliert und somit die URL also auch korrekt angezeigt werden könnte.

oliver kurlvink07.02.05 12:48

Ich würde glatt sagen, dass 50% der Sites nicht korrekt funktionieren würden, wenn der Browser sich ausschließlich auf den Header verlassen würde. Es gibt Millionen von Servern, die standardmäßig alles unbekannte als text/plain rausschicken, solange der Mime-Type nicht weiter konfiguriert wurde. Dann würden z.B. auch DMG-Dateien oder Videos im Browser als Text angezeigt anstatt zum Download angeboten zu werden. Und ich will gar nicht wissen wie "performant" Safari wird, wenn da ein 20MB Disk Image im Fenster angezeigt wird.

Aronnax07.02.05 13:09

@ oliver kurlvink

würde mal behaupten wollen das das mit dem HTTP 'Content-type' Header gar nicht das Problem ist.

Bei den Gecko-Browsern wird der ebenso geraten bzw. er wird mit absicht nicht immer korrekt ausgewertet.
Aus den von dir genannten Gründen.

Nur haben sie aber auch diverse Vorsichtmaßnahmen eingebaut (siehe das Bespiel) und eben sowas steht bei Safari scheinbar noch aus.
Sollte aber kein Problem sein.

----
Ein gute Lösung für das URL Problem düfte allerdings deutlich schwerer fallen - bin da echt gespannt, wie man es umgehen kann.

Sicherheitslücke in Safari, Text wird manchmal als HTML gerendert

Kommentare

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.