Sicherheitslücke in Safari (v85 und 100.1)

  1. ceUs

    ceUs Thread Starter MacUser Mitglied

    Mitglied seit:
    20.07.2003
    Beiträge:
    341
    Zustimmungen:
    1
    Habe ich grade bekommen.

    Also scheint es als würden die meisten hier eine offene Sicherheitslücke auf ihrem Mac haben.
     
  2. BEASTIEPENDENT

    BEASTIEPENDENT MacUser Mitglied

    Mitglied seit:
    26.10.2003
    Beiträge:
    1.959
    Zustimmungen:
    6
    noch unsicherer als dass evtl. jmd. sehr gewievtes meine cookies lesen kann (und damit nicht viel anfangen kann; es ist IMO wenn eine datenschutz-, aber keine sicherheitslücke) wäre es allerdings, mir auf einer japanischen website irgendetwas zu saugen und auszuführen, wo ich nicht mal lesen kann, worum es angeblich geht und wer hetima.com überhaupt ist.

    in diesem fall mag es zwar eine funktionierende bzw. seriöse lösung sein, aber einfach blind solchen nachrichten zu vertrauen und dann etwas zu instalieren, wovon man nicht den hauch einer ahnung hat, was es sit, das ist die größte sicherheitslösung vor ALLEN rechnern überhaupt, nämlich der user!

    nur mal so als allgemeiner hinweis ;)
     
  3. Descartes

    Descartes unregistriert

    Mitglied seit:
    14.12.2002
    Beiträge:
    189
    Zustimmungen:
    0
    Auf der Security Mailingliste "BugTraq" http://seclists.org/lists/bugtraq/2003/Nov/0251.html wie auch auf SecurityFocus http://www.securityfocus.com/archive/1/345221 wurde dieser als "cookie theft" benannte Fehler bestätigt. Als Workaround wird der oben genannte Fix von hetima.com vorgeschlagen.

    Trotzdem hat auch BEASTIEPENDENT Recht, wenn er schreibt dass man nicht bedenkenlos sofort irgendwelche fremden Programme oder Patches installliert nur weil man von irgendeiner Email oder Webseite dazu aufgefordert. Viel zu einfach kann es passieren, dass man sich durch diese Aktion erst eine Sicherheitslücke einfängt. Insbesondere die Windows-Anwender zeigen ja gut, wie leicht man Leute durch Webseiten und Email-Attachments davon überzeugen kann einen vermeintlichen Sicherheitspatch einzuspielen der sich dann letzten Endes als Trojaner oder 0190-Dialer entpuppt.

    <Paranoia-On>
    Wer garantiert zum Beispiel, dass der hetima.com Patch den Fehler wirklich behebt und nicht stattdessen ein Keylogger installiert wird, der alle in den Browser eingegebenen Kreditkartendaten, Passwörter etc. (oder komplette Cookies) an hetima.com übermittelt?
    <Paranoia-Off>
     
  4. ceUs

    ceUs Thread Starter MacUser Mitglied

    Mitglied seit:
    20.07.2003
    Beiträge:
    341
    Zustimmungen:
    1
    Naja ich denke mal, dass wenn diese Meldung über die Butraq-Liste geht, dass sie dann schon recht ernstzunehmen ist.
    Ebenso habe ich bisher noch nie etwas über Bugtraq mitbekommen wo es gegen die User ging, aber das ist die Entscheidung von einem selbst.

    Naja ob es nun eine Sicherheitslücke oder nur eine Datenschutzlücke ist, ist meines Erachtens nach nicht ganz klar, da ich es z.B. teils doch als Sicherheitslücke empfinde, wenn jemand mir Passwörter aus den Cookies auslesen könnte.

    /e: Desweiteren habe ich oben denke ich eindeutig darauf hingewiesen, dass dies keine offizielle Lösung ist. Damit will ich auch sagen, dass jeder hier nach seinem Gewissen handeln sollte.
    Ich habe diesen Thread eigentlich nur deswegen eröffnet, da viele Leute sich über ggf. offene Stellen in ihrem System Sorgen machen und zumindest informiert sein sollten!
     
  5. Descartes

    Descartes unregistriert

    Mitglied seit:
    14.12.2002
    Beiträge:
    189
    Zustimmungen:
    0
    Der Angreifer muss das in dem Cookie gespeicherte Passwort nicht entschlüsseln. Er kann einfach das komplette Cookie verwenden um damit dann auf die Webseite zuzugreifen, die dieses Cookie gespeichert hat. Dies könnte zum Beispiel Amazon sein. Die Webseite schaut dann nach, ob ein passendes Cookie vorliegt und liest dies im Erfolgsfall aus -- und schwubbs ist der Angreifer mit meinem Cookie bei Amazon unterwegs und kauft Zeugs ein... *)

    *) Ok, Amazon ist hier nicht das ideale Beispiel weil dort vor zum Abschluss des Bestellvorgang zusätzlich noch immer das Account-Passwort abverlangt wird... aber andere Online-Shops könnten hier durchaus nachlässiger sein...
     
  6. Rakor

    Rakor MacUser Mitglied

    Mitglied seit:
    05.11.2003
    Beiträge:
    2.785
    Zustimmungen:
    3
    Einfachster Weg sochen Problemen aus dem Weg zu gehen keine Cookies zu verwenden, oder wenigstens nicht auf sensitiven Seiten...

    So mach ich das immer und fühle mich halbwegs sicher (bzgl. sochen Dingen). Zudem kann es ja auch mal vorkommen, dass ich mein Rechner wo stehen habe und vergesse Ihn zu locken... Dann braucht es gar kein Softwarebug zu sein, sondern ein Humanbug, und die kommen leider immer wieder vor.
     
  7. Paso

    Paso MacUser Mitglied

    Mitglied seit:
    19.09.2003
    Beiträge:
    221
    Zustimmungen:
    0
    Ohne mir selber tiefgreifende Sorgen zu machen, hoffe ich doch, dass Apple hier auch schnell reagiert, die Meldung lief bereits über macintouch und xlr8yourmac, weshalb es zu hoffen bleibt.

    Merkwürdig bleibt, dass das mit dem Security Update, welches Safari auf 1.1.1 befördert hat, nicht gleich mitgeflickt wurde...
     
  8. BEASTIEPENDENT

    BEASTIEPENDENT MacUser Mitglied

    Mitglied seit:
    26.10.2003
    Beiträge:
    1.959
    Zustimmungen:
    6
    &nbsp;
    genau sowas meinte ich! ;)

    @ceus: ich wollt auch keineswegs etwas gegen dich sagen oder dass die quelle nicht seriös ist (wobei ich auf den ersten blick nicht gesehen habe, dass es bugtraq ist) - sondern nur auf die allg. problematik hinweisen. ;)
     
Die Seite wird geladen...