Safari unter iOS 5.1: Neue Sicherheitslücke entdeckt

Safari

Der Sicherheitsexperte David Vieira-Kurz veröffentlicht eine bislang unbekannte Sicherheitslücke der mobilen Version des Browsers Safari unter iOS 5.1. Damit kann man Opfern vorgaukeln, sie befinden sich auf ihrer gewünschten Webseite. Zwar wird die korrekte URL in der Adresszeile angezeigt. Tatsächlich aber befindet man sich beispielsweise auf der Phishing-Webseite von Cyber-Kriminellen.

Die aktuelle mobile Version des Webbrowsers Safari, die auf AppleWebkit/534.46 basiert und unter iOS 5.1 läuft, ermöglicht es Angreifern die angezeigte Adresszeile des Webbrowsers zu kontrollieren und zu manipulieren. Grund der Lücke ist eine nicht korrekte Behandlung der URL sofern die Javascript-Methode "window.open()" angewendet wird. Im Browser kann ein neues Fenster mit vorab definierten Werten geöffnet werden. So etwa der Seitentitel, die URL und die Fenstergröße. Es ist zudem möglich, eigenen HTML- und Javascript-Code in diesem neuen Fenster zu platzieren, der beim Öffnen des neuen Fensters die Adresszeile nach Wunsch des Angreifers manipulieren kann. Statt der tatsächlichen Webseite (zum Beispiel ein Online-Shop) wird die nachgeahmte Webseite innerhalb eines iFrames dargestellt. Denkt man also, man könnte seinen Einkauf bei Apple.com durchführen oder seine Bankgeschäfte tätigen, übermittelt man stattdessen kritische Details an Cyberkriminelle. Alle Benutzer der betroffenen Version von Safari sollten ihren Browser aktualisieren, sobald Apple hierfür einen Patch veröffentlicht hat. Das Unternehmen wurde bereits Anfang März informiert.

Die Schwachstelle wurde mit Erfolg auf einem iPhone4, iPhone4S, iPad2 und iPad3 mit installiertem iOS 5.1 getestet. Wer sich selbst von der Wirksamkeit der Sicherheitslücke überzeugen möchte, kann dies hier an dieser Stelle tun.

Bild-Quellen: applesandjam.deviantart.com

Text-Quellen: Major Security

Lars Sobiraj (g+) am Dienstag, 20.03.2012 15:34 Uhr

Tags: safari ios david vieira-kurz major security research

Weitere interessante News

0 Reaktionen zu dieser Nachricht

weitere Kommentare lesen Nachricht kommentieren

Games [Teamspeak]

Teamspeak Server

Heutzutage ist die Internettelefonie neben Fest- und Mobilnetztelefonie immer gefragter. Per Internet zu kommunizieren ist nicht nur komfortabler und billiger, man ist zudem unabhängig von Tarifen, welche nur eine bestimmte Gesprächszeit günstig ermöglichen. Also wieso nicht auch Internet-Telefonie nutzen?

Aktuelle gulli:Videos

Hotline Miami 2 - Teaser Trailer

Hands-On - Huawei Ascend P6

Murdered: Soul Suspect - erstes Gameplay

News [Kurioses]

StudiVZ-Gründer spricht sich für bewaffneten Kampf gegen Erdogan aus

Sener Dincer am 14.06.2013, 11:47 Uhr

Bezugnehmend auf die anhaltende Protestbewegung gegen Ministerpräsident Erdogan hat nun auch der StudiVZ-Gründer Ehssan Dariani seine Ansichten offenbart. Via Facebook-Mitteilung teilt er mit, dass möglicherweise die Zeit für einen bewaffneten Kampf gegen die türkische Regierung gekommen sei – und zwar „Stauffenberg-like“.