Safari-Lücke seit zwei Jahren offen

In Apples Browser Safari ist seit zwei Jahren eine Sicherheitsücke bekannt. Apple hat bislang keine Anstrengungen unternommen, die Lücke für Mac-Nutzer zu schließen. The Register zufolge hält man die Schwachstelle nicht für ein Sicherheitsrisiko. Der Sicherheitsexperte Nitesh Dhanjani hatte Apple im Jahr 2008 von der Sicherheitslücke berichtet, die er entdeckt hatte: Anders als andere Browser speichert Safari Downloads von einer Webseite im Download-Ordner, ohne vor dem Sichern das Einverständnis des Nutzers einzuholen - auch wenn es sich dabei um Hunderte von Download-Dateien handelt. Bestimmte Dateien versucht Safari auch gleich aufzulösen. Auf der Webseite von Nitesh Dhanjani findet sich eine Beschreibung des Problems sowie ein Videofilm der demonstriert, wie sich ein Angriff, der auf der genannten Sicherheitslücke basiert - ein so genannter Bombenteppich ("carpet bomb") auswirken kann.

Nachdem Apple im Jahr 2008 auf das Bekanntwerden der Sicherheitslücke nicht reagiert hatte, riet Microsoft seinen Kunden, von der Verwendung von Safari bis auf weiteres abzusehen. Daraufhin behob Apple die Sicherheitslücke in Safari für Windows. Für Mac-Nutzer jedoch besteht das Sicherheitsproblem fort.