Sicherheitslücke in Safari

charlotte

Mitglied
Thread Starter
Mitglied seit
17.11.2002
Beiträge
4.764
Habe bei Heise (siehe hier ) etwas über eine mögliche Sicherheitslücke bei Safari gelesen. Kann mir jemand etwas einfacher erklären, wie hoch man das Risiko einschätzen muß, dass durch die wohl nicht richtige Überprüfung des angewählten Rechners ein Schaden entstehen kann.
 

Grady

Mitglied
Mitglied seit
25.04.2003
Beiträge
2.345
Der Einsatz von SSL bei Internet-Verbindungen verfolgt zwei Ziele: Zum einen soll SSL die Verbindung verschlüsseln, zum anderen die Identität des Rechners am anderen Ende verifizieren. Da Safari jedoch den Common Name eines SSL-Zertifikats nicht richtig überprüft, kann ein Anwender nicht sicher sein, dass der Rechner am anderen Ende der SSL-Verbindung auch tatsächlich der ist, für den er sich ausgibt.
Über DNS-Spoofing etwa ließe sich diese Nachlässigkeit ausnutzen. Einzige Abhilfe ist zur Zeit, Safari und Konquerer Embedded nicht für SSL-Verbindungen einzusetzen und etwa Bankgeschäfte mit einem anderen Web-Browser abzuwickeln.
Das heisst nichts anderes, als dass man bei einer SSl-Verbindung mit einem anderen Rechner (Bank, Onlineshop) nicht sicher weiss, wer sich wirklich hinter der Adresse verbirgt. Das Mittel dazu ist DNS-Spoofing, wobei ein Domain-Name in eine andere IP umgewandelt wird. Man würde glauben, es wäre die Bankseite und das Gegenüber klaut einem alle Daten (PIN/TAN, Kto-Nr), die dann zur freien Verfügung für ihn/sie stehen.

Fazit: Bis ein Patch rauskommt, mit Safari keine SSL-Verbindungen eingehen, wo die Sicherheit eine entscheidende Rolle spielt.
 

charlotte

Mitglied
Thread Starter
Mitglied seit
17.11.2002
Beiträge
4.764
ich kann mir das irgendwie technisch nicht vorstellen. ist das so, dass ein potentieller bösewicht vor dem netzeingang der bank wartet und sich dann als die bank ausgibt. wie macht man sowas.(hab nich vor so etwas zu machen sondern versuche es nur zu verstehen um mich besser zu schützen).
 

Grady

Mitglied
Mitglied seit
25.04.2003
Beiträge
2.345
Genau so läuft es ab. (Auch bekannt als trojanisches Pferd => 23)

Man stellt mittels des falschen DNS-Eintrages beim entsprechenden Provider oder sogar netzweit eine identische Seite online und wartet auf die Eingaben der Benutzer. Schützen kann man sich ohne Patch nur mit einem anderen Browser, der alle Details von SSL beachtet.

Mit einigen Tricks (Mail) kann man z.B. bei Windows-Usern den DNS-Server (zuständig für die Umwandlung von Adressnamen in IPs) einfach ändern und einen eigenen angeben. Damit ist dann Tür und Tor geöffnet, beliebige Seiten auf eigene Inhalte umzulenken. So wird auch heutzutage zensiert im Netz, wenn gewisse Regierungsbeamte eine Seite aus dem Netz befördern wollen: DNS-Eintrag ändern, fertig.
 

Christen

Mitglied
Mitglied seit
07.01.2003
Beiträge
889
Safari und SSL

Safari ist wieder sicher!

Einfach Software-Aktuallisierung laufen lassen.
 

Xenara

Mitglied
Mitglied seit
16.01.2004
Beiträge
400
Sicherheitslücken in Safari

Grad auf Heise, neue Sicherheitslücke in Safari.
http://www.heise.de/security/news/meldung/47522

Es lohnt sich, ein paar von den Kommentaren zu lesen (nein, nicht die, die rot markiert sind).
Hat wer ausser mir das
http://bronosky.com/pub/AppleScript.htm
schon mal ausprobiert?
(Bitte tuts noch nicht, bis jemand, der nen Peiler hat bestätigt, dasses keinen Schaden anrichtet. Ich trau mir nicht :( )
Hab ich bei den Heise-Kommis gefunden.
Da kommt einem das kalte Grausen. Wenn ich das richtig verstanden habe, ist es kein Virus o.ä. es führt "nur" das "du"-Kommando im Terminal aus. Schreckfaktor garantiert.
Aber mein Compi läuft noch. Ich hab doch hoffentlich keine Schäden drauf jetzt??? :(

Uebrigens, hat schonmal jemand das help auf den ie umgebogen? Ich hab keine Ahnung, wie das geht und ob es hilft.

Wie kritisch ist die Lücke eigentlich? Ich bin nach dem Test doch ziemlich schockiert. :confused:
Es hätte ja auch ein "rm -df .*" (passt das so?) sein können.
 
Zuletzt bearbeitet: