Sicherheitslücke in Safari (v85 und 100.1)

Diskutiere mit über: Sicherheitslücke in Safari (v85 und 100.1) im Internet- und Netzwerk-Software Forum

  1. ceUs

    ceUs Thread Starter MacUser Mitglied

    Beiträge:
    341
    Zustimmungen:
    1
    Registriert seit:
    20.07.2003
    Habe ich grade bekommen.

    Also scheint es als würden die meisten hier eine offene Sicherheitslücke auf ihrem Mac haben.
     
    Zuletzt von einem Moderator bearbeitet: 24.10.2015
  2. BEASTIEPENDENT

    BEASTIEPENDENT MacUser Mitglied

    Beiträge:
    1.948
    Zustimmungen:
    5
    Registriert seit:
    26.10.2003
    noch unsicherer als dass evtl. jmd. sehr gewievtes meine cookies lesen kann (und damit nicht viel anfangen kann; es ist IMO wenn eine datenschutz-, aber keine sicherheitslücke) wäre es allerdings, mir auf einer japanischen website irgendetwas zu saugen und auszuführen, wo ich nicht mal lesen kann, worum es angeblich geht und wer hetima.com überhaupt ist.

    in diesem fall mag es zwar eine funktionierende bzw. seriöse lösung sein, aber einfach blind solchen nachrichten zu vertrauen und dann etwas zu instalieren, wovon man nicht den hauch einer ahnung hat, was es sit, das ist die größte sicherheitslösung vor ALLEN rechnern überhaupt, nämlich der user!

    nur mal so als allgemeiner hinweis ;)
     
  3. Descartes

    Descartes unregistriert

    Beiträge:
    189
    Zustimmungen:
    0
    Registriert seit:
    14.12.2002
    Auf der Security Mailingliste "BugTraq" http://seclists.org/lists/bugtraq/2003/Nov/0251.html wie auch auf SecurityFocus http://www.securityfocus.com/archive/1/345221 wurde dieser als "cookie theft" benannte Fehler bestätigt. Als Workaround wird der oben genannte Fix von hetima.com vorgeschlagen.

    Trotzdem hat auch BEASTIEPENDENT Recht, wenn er schreibt dass man nicht bedenkenlos sofort irgendwelche fremden Programme oder Patches installliert nur weil man von irgendeiner Email oder Webseite dazu aufgefordert. Viel zu einfach kann es passieren, dass man sich durch diese Aktion erst eine Sicherheitslücke einfängt. Insbesondere die Windows-Anwender zeigen ja gut, wie leicht man Leute durch Webseiten und Email-Attachments davon überzeugen kann einen vermeintlichen Sicherheitspatch einzuspielen der sich dann letzten Endes als Trojaner oder 0190-Dialer entpuppt.

    <Paranoia-On>
    Wer garantiert zum Beispiel, dass der hetima.com Patch den Fehler wirklich behebt und nicht stattdessen ein Keylogger installiert wird, der alle in den Browser eingegebenen Kreditkartendaten, Passwörter etc. (oder komplette Cookies) an hetima.com übermittelt?
    <Paranoia-Off>
     
  4. ceUs

    ceUs Thread Starter MacUser Mitglied

    Beiträge:
    341
    Zustimmungen:
    1
    Registriert seit:
    20.07.2003
    Naja ich denke mal, dass wenn diese Meldung über die Butraq-Liste geht, dass sie dann schon recht ernstzunehmen ist.
    Ebenso habe ich bisher noch nie etwas über Bugtraq mitbekommen wo es gegen die User ging, aber das ist die Entscheidung von einem selbst.

    Naja ob es nun eine Sicherheitslücke oder nur eine Datenschutzlücke ist, ist meines Erachtens nach nicht ganz klar, da ich es z.B. teils doch als Sicherheitslücke empfinde, wenn jemand mir Passwörter aus den Cookies auslesen könnte.

    /e: Desweiteren habe ich oben denke ich eindeutig darauf hingewiesen, dass dies keine offizielle Lösung ist. Damit will ich auch sagen, dass jeder hier nach seinem Gewissen handeln sollte.
    Ich habe diesen Thread eigentlich nur deswegen eröffnet, da viele Leute sich über ggf. offene Stellen in ihrem System Sorgen machen und zumindest informiert sein sollten!
     
  5. Descartes

    Descartes unregistriert

    Beiträge:
    189
    Zustimmungen:
    0
    Registriert seit:
    14.12.2002
    Der Angreifer muss das in dem Cookie gespeicherte Passwort nicht entschlüsseln. Er kann einfach das komplette Cookie verwenden um damit dann auf die Webseite zuzugreifen, die dieses Cookie gespeichert hat. Dies könnte zum Beispiel Amazon sein. Die Webseite schaut dann nach, ob ein passendes Cookie vorliegt und liest dies im Erfolgsfall aus -- und schwubbs ist der Angreifer mit meinem Cookie bei Amazon unterwegs und kauft Zeugs ein... *)

    *) Ok, Amazon ist hier nicht das ideale Beispiel weil dort vor zum Abschluss des Bestellvorgang zusätzlich noch immer das Account-Passwort abverlangt wird... aber andere Online-Shops könnten hier durchaus nachlässiger sein...
     
  6. Rakor

    Rakor MacUser Mitglied

    Beiträge:
    2.785
    Zustimmungen:
    3
    Registriert seit:
    05.11.2003
    Einfachster Weg sochen Problemen aus dem Weg zu gehen keine Cookies zu verwenden, oder wenigstens nicht auf sensitiven Seiten...

    So mach ich das immer und fühle mich halbwegs sicher (bzgl. sochen Dingen). Zudem kann es ja auch mal vorkommen, dass ich mein Rechner wo stehen habe und vergesse Ihn zu locken... Dann braucht es gar kein Softwarebug zu sein, sondern ein Humanbug, und die kommen leider immer wieder vor.
     
  7. Paso

    Paso MacUser Mitglied

    Beiträge:
    221
    Zustimmungen:
    0
    Registriert seit:
    19.09.2003
    Ohne mir selber tiefgreifende Sorgen zu machen, hoffe ich doch, dass Apple hier auch schnell reagiert, die Meldung lief bereits über macintouch und xlr8yourmac, weshalb es zu hoffen bleibt.

    Merkwürdig bleibt, dass das mit dem Security Update, welches Safari auf 1.1.1 befördert hat, nicht gleich mitgeflickt wurde...
     
  8. BEASTIEPENDENT

    BEASTIEPENDENT MacUser Mitglied

    Beiträge:
    1.948
    Zustimmungen:
    5
    Registriert seit:
    26.10.2003
    &nbsp;
    genau sowas meinte ich! ;)

    @ceus: ich wollt auch keineswegs etwas gegen dich sagen oder dass die quelle nicht seriös ist (wobei ich auf den ersten blick nicht gesehen habe, dass es bugtraq ist) - sondern nur auf die allg. problematik hinweisen. ;)
     
Die Seite wird geladen...
Ähnliche Themen - Sicherheitslücke Safari (v85 Forum Datum
Safari Topsites Internet- und Netzwerk-Software Donnerstag um 18:37 Uhr
Lesezeichen sync zwischen Safari und Chrome Internet- und Netzwerk-Software 10.11.2016
Sicherheitslücke in Safari: "private browsing mode" nutzlos Internet- und Netzwerk-Software 16.03.2015
Sicherheitslücke bei bestätigter Registierung im Internet Internet- und Netzwerk-Software 23.01.2012
Sicherheitslücke in Firefox + Mozilla Internet- und Netzwerk-Software 05.04.2005

Diese Seite empfehlen

Benutzerdefinierte Suche