Safari: Apple-Browser noch immer unsicher

Apples Webbrowser Safari enthält mehrere Schwachstellen, die auch die aktuelle Version 3.1.1 für Windows betreffen. Eine dieser Schwächen ist eine so genannte URL-Spoofing-Lücke, mit der sich dem Anwender eine andere Webadresse (URL - Uniform Ressource Locator) vorgaukeln lässt, als tatsächlich geladen wird. Mit den beiden anderen Anfälligkeiten lässt sich Safari zum Sturm bringen. Unklar bleibt zunächst, ob über sie auch beliebiger Code eingeschleust werden kann.

Die Spoofing-Lücke basiert auf der Möglichkeit, eine passwortgeschützte Webseite mit einer URL der Form "username@website" (oder "username:passwort@website") aufzurufen. Der Entdecker, Juan Pablo Lopez Yacubian, setzt als Beispiel eine Google-Adresse als Benutzername ein, gefolgt von einer langen Zeichenkette. Durch das Einfügen vieler solcher Zeichen verschwindet die Adresse der tatsächlich geladenen Seite aus dem sichtbaren Teil der Adressleiste.

Die beiden anderen Demos führen zum Absturz von Safari. Das erste Demo basiert auf einer überlangen Zeichenkette, die per Javascript in die Seite eingefügt wird. Safari meldet eine langsame Script-Ausführung und stürzt nach dem Klicken auf "Fortfahren" ab. Das zweite Demo ruft eine lokale URL auf, die ein Sonderzeichen enthält. Beim Aufruf stürzt Safari sofort ab.

Eine Stellungnahme von Apple oder ein Update gibt es bislang noch nicht. Das Sicherheitsunternehmen Secunia stuft die Spoofing-Lücke als "weniger kritisch" ein. Firefox zeigt beim Aufruf einer solchen URL eine Warnmeldung an, weil eine Benutzeranmeldung erfolgt, obwohl dies nicht nötig ist. Welches Gefahrenpotenzial in den beiden Crash-Lücken steckt, ist noch offen. (PC-Welt/mja)