Sicherheitslücke in Safari aufgedeckt

von

Im Rahmen der jährlich statt findenden Sicherheitskonferenz “IT-Defense” demonstrierten die beiden Experten für Mac-Sicherheit Charlie Miller und Dino Dai Zovi einen Zero-Day-Exploit für Safari 5 in der 64-Bit-Version. Eine einfache URL-Eingabe genügte, um den Safari-Prozess unter die Kontrolle des potentiellen Angreifers zu bringen.

Genauere Informationen zur Wirkungsweise der Attacke mochten Miller und Zovi nicht preisgeben, da sie ihre Entdeckung möglicherweise für den Pwn2Own-Wettbewerb nutzen wollen, wie heise.de berichtet. Darüber hinaus bezeichneten die beiden Experten eine möglicherweise erhöhte Sicherheit von Mac OS X 10.6 gegenüber der Vorgängerversion als reines Zufallsprodukt.

So hätten Verbesserungen, die ursprünglich die Leistung des Systems steigern sollten und von Miller als “Performance-Verbesserungen” eingestuft wurden, eher als Reflex auch die Sicherheit von Mac OS X Snow Leopard erhöht. Sicherheitsmerkmale wie Address Space Layout Randomization (ASLR) und Data Execution Prevention (DEP) könnten von Hackern nur deswegen nicht durch die JIT-Spraying-Methode außer Gefecht gesetzt werden, weil das dem Browser zugrunde liegende WebKit dies aus eigener Kraft verhindere.

Der Pwn2Own-Wettbewerb soll in der zweiten März-Woche statt finden, bis dahin werden die Details des Exploits also wohl noch unter Verschluss bleiben.


Kommentare zu diesem Artikel

Neue Artikel von GIGA APPLE

Anzeige
GIGA Marktplatz