zurück zum Artikel

Nach neuen Informationen war der Browser nur das Einfallstor des MacBook-Hacks, die eigentliche Lücke steckt in Apples QuickTime. Auch Windows ist von dem Problem betroffen.

Zu der kürzlich gemeldeten Lücke [1] in Apples Browser Safari sind nun weitere Einzelheiten veröffentlicht worden. Laut einem Eintrag im Blog des Sicherheitsdienstleisters Matasano Security, für den der Entdecker der Lücke und Gewinner des Hack-a-Mac-Wettbewerbs Dino Dai Zovi arbeitet, steckt die Lücke nicht in Safari, sondern in Apples Mediaplayer QuickTime. Die Lücke soll in der Verarbeitung des Players von Java-Code zu finden sein. Als Einfallstor muss daher nicht zwangsläufig Safari herhalten, der Angriff kann auch über Firefox erfolgen.

Zudem sollen nicht nur die PCs von Mac-OS-X-Anwendern gefährdet sein, auch Windows-PCs sind verwundbar, wenn der Anwender Firefox, Java und QuickTime benutzt. Abhilfe schafft derzeit nur, Java im Browser zu deaktivieren. Im Firefox ist diese Einstellung unter Firefox/Einstellungen/Inhalt bei Mac OS X und Extras/Einstellungen/Inhalt unter Windows zu finden, im Safari unter Safari/Einstellungen/Sicherheit.

Im Rahmen eines auf der Sicherheitskonferenz CanSecWest stattfindenden Wettbewerbs Hack-a-Mac "PWN to own" hatte Dai Zavi zusammen mit Shane Macaulay ein vollständig gepatchtes MacBook Pro mit Mac OS X 10.4.9 über eine präparierte Webseite gehackt und dafür 10.000 US-Dollar Preisgeld kassiert.

Siehe dazu auch:

• MacBook Vuln In Quicktime, Affects Win32 Apple Code [2], Blogeintrag von Matasano Security

(dab [3])

URL dieses Artikels:
https://www.heise.de/-170628

Links in diesem Artikel:
[1] https://www.heise.de/news/Hack-a-Mac-Sicherheitsluecke-in-Apples-Safari-gefunden-170098.html
[2] http://www.matasano.com/log/812/breaking-macbook-vuln-in-quicktime-affects-win32-apple-code/
[3] mailto:dab@ct.de

Copyright © 2007 Heise Medien