Safari 4.0.3 stopft Sicherheitslecks
Safari 4.0.3 steht ab sofort für Windows und Mac zum Download bereit. Im Apple-Browser wurden sechs Lecks abgedichtet – zwei davon waren nur unter Windows zu finden. So gab es Buffer Overflows beim Verarbeiten langer Strings und von EXIF-Metadaten, die beim Aufsuchen einer manipulierten Website zum Absturz von Safari führen konnten und es einem Angreifer erlaubten, Code einzuschleusen.
Die vier anderen Lecks betreffen sowohl die Windows- als auch die Mac-Version von Safari. Eines ist weniger kritisch, erlaubt es doch einer Website lediglich, sich in die Top Sites einzuschleichen, die mit Safari 4 eingeführt wurden.
Drei Lecks stecken in der Rendering Engine Webkit. Dort gibt es einen Fehler beim Parsen von Floating-Point-Zahlen, der einen Buffer Overflow auslöst und dazu taugt, schädlichen Code auszuführen. Bei der Darstellung von Internationalized Domain Names (IDN) konnten Zeichen verwendet werden, die wie andere Zeichen aussahen, um den Anwender auf Phishing- oder Malware-Sites zu locken. Diese Zeichen werden nun via PUnycode konvertiert und durch ASCII-Zeichen dargestellt. Und ein Fehler im Plugin-Dialog konnte dazu führen, dass statt der Download-Site eines unbekannten Plugins File-URLs aufgerufen wurden. Hier beschränkt man das URL-Schema nun auch http und https.(Daniel Dubsky)