Nicht so schlimm – sagt Apple

Apple spielt Safaris „Download-Problem“ herunter

Ein Sicherheitsexperte hat auf ein Safari-Problem hingewiesen. Dieses erlaubt es, Dateien ungefragt herunterzuladen.

Es Experte hat demonstriert, dass sich unzählige Dateien mittels Safari ungefragt in den per Standard definierten Download-Ordner herunterladen lassen. Angeblich soll Apple diesen Umstand nicht als Sicherheitslücke sehen. Safari, der in Mac OS X eingebaute Standard-Browser, hat mehr Aufmerksamkeit bekommen, seit die auch für Windows erhältlich ist.

Laut Sicherheitsexperten Nitesh Dhanjani bestehe das Problem, weil Safari nicht nach einer Erlaubnis frage, bevor es Dateien herunterlade. Mittels eines CGI-Scripts war es ihm möglich, eine große Anzahl von Dateien ohne Nachfrage herunterzuladen. Es sei offensichtlich, dass sich somit große Mengen an Schadcode in den Download-Ordner eines Anwenders spielen lassen. Der Nutzer müsste diese allerdings zuerst manuell öffnen. Apple sehe das nicht als Sicherheitsproblem. Man erwäge allerdings den Einbau der Funktion, dass der Benutzer einen Download erst bejahen muss. Ein weiteres Problem bestehe beim Aufruf lokaler Dateien. Safari warne hier ebenfalls nicht, wenn eine HTML-Datei ein Client-Script ausführen möchte. Apple soll Dhanjani geantwortet haben, dass man die Dinge genauer untersuchen wolle. Aber es würde nicht auf die schnelle gehen, wenn man Kompatibilitätsprobleme vermeiden wolle. (jdo)