Sicherheitslücken in Safari gefunden - Kennwörter betroffen

catvarlog

catvarlog

Aktives Mitglied
Thread Starter
Dabei seit
30.01.2005
Beiträge
1.488
Reaktionspunkte
1
Vorab: Ich haben noch keinen Thread dazu hier gefunden. Gibt es wirklich noch keinen?


Gerade habe ich - quasi als Fussnote - diesen Hinweis bei mac-essentials.de gefunden:

2:50 Uhr Heise: der Passwort-Manager von Firefox enthält eine Sicherheitslücke, die unter bestimmten Voraussetzungen Phishern die Arbeit erleichtert. Laut Heise nutzt eine präparierte mySpace-Seite diese Lücke bereits aus. Hier ist eine (harmlose) Demo. [Update:] auch Safari scheint dieses Problem zu haben - auch hier funktioniert die Demo.
Zum Vergrößern anklicken....
http://www.mac-essentials.de/index.php/mac/article/18423/

Die Demo (http://www.heise-security.co.uk/services/browsercheck/demos/moz/pass1.shtml) funktioniert tatsächlich - jedenfalls bei mir - und anscheinend ist Safari betroffen.

EDIT
- Hier noch ein Link, der das Problem beschreibt: http://www.heise.de/newsticker/meldung/81410
- Im Titel habe ich mich vertippt. Es sollte "Sicherheitslücke" (Singular) heißen. Es ist nur von einer die Rede.
 
Zuletzt bearbeitet:
boah. safari, camino, firefox... alles buggy
 
Tja, diese Sicherheitslücken... was waren das noch für Zeiten ohen Intenet... da man noch keine Viren etc. :D
 
tja, das hoert sich fiese an...

aber bei mir funktioniert es nicht....!! :p
fragt mich nicht warum... aber ist zum glueck so...!:D
 
Wow - bei mir geht es auch (Safari).

Also in Zukunft aufpassen mit den Passwörtern....
 
kohlero schrieb:
tja, das hoert sich fiese an...

aber bei mir funktioniert es nicht....!! :p
fragt mich nicht warum... aber ist zum glueck so...!:D
Zum Vergrößern anklicken....

Wie ich gerade sehe geht das auch nur, wenn man unter "Einstellungen" => "Autom. ausfüllen" die entsprechende Checkbox aktiviert hat. Ist sie nicht aktiviert, klappt die Demo nicht.
 
Jo - dann füllt er aber auch keine Passwortfelder mehr aus - wozu sollte ich sie dann noch speichern?
 
Bei mir funzt es net... kein Phishing...
 
Scheisse,

weiss jemand, was Apple da macht?

Alex
 
bei mir gehts auch nicht...
ich speichere meine passwörter sowieso nie, auch nicht zu hause. frag mich nicht wieso, aber bisher krieg ich meine noch ganz gut beisammen! muss am alter liegen :p
Und was pishing angeht...so wie heutzutage darüber aufgeklärt wird, über die verschiedensten Arten von pishing...also bitte: wir haben so viele doofheiten auf der Welt, wieso wählen die menschen immer die selben aus??
 
Bei mir gehts :( Firefox 2.0 :(
 
Ich hab es mal gemeldet Radar ID 4849119

Alex
 
So wie ich das im Moment verstanden habe, gibt es dann ein Problem, sobald "böswillige Dritte" Javascript in eine "vertrauenswürdige" Website einbinden können.

Das bedeutet in erster Linie nur dann ein Risiko, wenn man Seiten besucht, welche die Einbindung erlauben. Und dann ist wohl auch nur das Kennwort betroffen, welche für die besuchte Website gespeichert wurde. Hoffe ich :)

Also ein Szenario wäre z.B. der Besuch eine präparierten MySpace-Seite. Dort könnte man dann das Kennwort "offiziell abphischen".

Problematisch wird es allerdings auch, wenn eine Website einen Bug hat, der sogenanntes Cross-Site-Scripting ermöglicht. Bei dieser "Methode" kann eine dritte Person böswilligen Code in die Seite einschleusen. Das gab es m.E. sogar schon auf Online-Banking-Seite.

Die Kombination dieser beiden Lücken wäre dann wirklich kritisch.
 
catvarlog schrieb:
So wie ich das im Moment verstanden habe, gibt es dann ein Problem, sobald "böswillige Dritte" Javascript in eine "fremde" Website einbinden können.

Das bedeutet in erster Linie nur dann ein Risiko, wenn man Seiten besucht, welche die Einbindung erlauben. Und dann ist wohl auch nur das Kennwort betroffen, welche für die besuchte Website gespeichert wurde. Hoffe ich :)

Also ein Szenario wäre z.B. der Besuch eine präparierten MySpace-Seite. Dort könnte man dann das Kennwort "offiziell abphischen".

Problematisch wird es allerdings auch, wenn eine Website einen Bug hat, der sogenanntes Cross-Site-Scripting ermöglicht. Bei dieser "Methode" kann eine dritte Person böswilligen Code in die Seite einschleusen. Das gab es m.E. sogar schon auf Online-Banking-Seite.

Die Kombination dieser beiden Lücken wäre dann wirklich kritisch.
Zum Vergrößern anklicken....

Joa, kritisch. Aber dadurch, dass du die Vokabeln WENN, DANN, und KÖNNTE und KANN benutzt, in einem Zusammenhang bzw. Beispiel, ist es also ziemlich unwahrscheinlich, dass was passiert. Und WENN dann tatsächlich mal der "kritische Fall" eintreten sollte, DANN sind vermutlich schon alle Fehler behoben. anSONSTen hast du leider Pech!
An sich möchte ich nur zur allgemeinen Beruhigung beitragen, denn es sind mit Sicherheit schon Leute daran, die Sachen zu beheben, an allen Fronten! :cool:
 
blueman-benny schrieb:
Joa, kritisch. Aber dadurch, dass du die Vokabeln WENN, DANN, und KÖNNTE und KANN benutzt, in einem Zusammenhang bzw. Beispiel, ist es also ziemlich unwahrscheinlich, dass was passiert.
Zum Vergrößern anklicken....

Nein. Ist es leider nicht. Es passiert bereits. Auf MySpace wurden schon entsprechendend manipulierte Seiten gesichtet. Das steht auch in dem Artikel.

Ich neige nur gerne dazu, die Kirche im Dorf zu lassen.

Diese Lücke ist kritisch, aber nur in dem begrenzenden Kontext. Und da muss jeder selber entscheiden, ob das persönlich ein Risiko ist.
 
catvarlog schrieb:
Nein. Ist es leider nicht. Es passiert bereits. Auf MySpace wurden schon entsprechendend manipulierte Seiten gesichtet. Das steht auch in dem Artikel.
...
Zum Vergrößern anklicken....


:eek: OOps...damit hab ich jetzt nicht gerechnet. Dann hab ich nix gesagt!

Rette sich wer kann...:rolleyes:
 
Trotzdem bin ich gespannt, wie schnell Apple darauf reagiert.

Das ist für mich auch ein Indiz, ob Apple weiter einfach nur behauptet "Der Mac ist sicher" (Und damit gefährlich an Norbert Blüms Spruch über die Rente kommt), oder ob sie sich wirklich darum kümmern.

Ich zähle die Tage bis zum Security Update.

Alex
 
ich hab ein RSS-Feed zu mac-essentials aufgemacht, als widget. Mal schauen, was auch immer passiert...ich erfahr es mit als erster hoffe ich, es sei denn, es kennt noch einer eine RSS-fähige Seite, auf der ich die entsprechenden News (in deutsch) noch schneller kriege...?! :)
 
Die Lücke wurde mit dem aktuellen Update anscheinend nicht geschlossen.
 
catvarlog schrieb:
Die Lücke wurde mit dem aktuellen Update anscheinend nicht geschlossen.
Zum Vergrößern anklicken....

Ja, sie ist auch im Bug Tracker noch offen

Alex
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten