Falle RSS-Feeds

Gefährliche Sicherheitslücke in Apples Safari

Thomas Cloer war viele Jahre lang verantwortlich für die Nachrichten auf computerwoche.de.
Er sorgt außerdem ziemlich rund um die Uhr bei Twitter dafür, dass niemand Weltbewegendes verpasst, treibt sich auch sonst im Social Web herum (auch wieder bei Facebook) und bloggt auf teezeh.de. Apple-affin, bei Smartphones polymorph-pervers.
Brian Mastenbrook hat eine gefährliche Schwachstelle in Apples-Safari-Browser entdeckt.

Genauer gesagt geht es um die Safari-Einbindung von RSS-Feeds. Die Schwachstelle ermöglicht es Angreifern, über eine manipulierte Web-Seite ohne Zutun eines Benutzers Dateien von dessen Festplatte auszulesen.

Safari kann - wie die meisten modernen Browser - RSS-Feeds inline anzeigen.
Safari kann - wie die meisten modernen Browser - RSS-Feeds inline anzeigen.

Für Safari auf Macs mit Betriebsystem OS X 10.5 ("Leopard") hat Mastenbrook einen Workaround parat: Die kostenlose Systemeinstellung "RCDefaultApp" herunterladen und installieren und darin unter "URLs" die Einträge für die Typen "feed", "feeds" sowie "feedsearch" auf eine anderes RSS-Programm (etwa "NetNewsWire") als Safari umbiegen oder deaktivieren.

Unter Windows hilft derzeit nur, einen anderen Browser als Safari zu verwenden. Deinstallieren muss man den Apple Browser aber nicht vom PC; anders als unter Mac OS X stellt er keine Gefahr dar, solange er nicht aktiv verwendet wird.

Der Experte Mastenbrook geht davon aus, dass die Sicherheitslücke von Apple mit einem Security Update gefixt wird. Wann ein Patch erscheint, ist allerdings nicht bekannt. Nutzer sollten daher vorerst den genannten Workaround anwenden, um auf Nummer Sicher zu gehen.