Die Sicherheitslücke betrifft die standardmäßig aktivierte Option "'Sichere' Dateien nach dem Laden öffnen" im Apple-Browser Safari. Damit werden Bilder und Filme nach dem Download auf den Rechner automatisch mit der ihnen zugeordneten Anwendung angezeigt. Safari entpackt auch Zip-Archive und öffnet die darin befindlichen, als "sicher" betrachteten Dokumente. Handelt es sich um aktive Inhalte - etwa eine Anwendung oder Shell-Skripte - holt sich der Browser erst das OK des Nutzers.

Nach einem Bericht von "Heise Security" können Probleme dann auftauchen, wenn ein Shell-Skript ohne eine so genannte "Shebang"-Zeile in einem Zip-Archiv abgelegt wird - sie bestimmt, welcher Interpreter die Ausführung des Scripts vornehmen soll. Fehlt diese Information, kann Safari potenziell gefährliche Inhalte nicht mehr identifizieren und führt Shell-Commands daher auch ohne Erlaubnis des Nutzers aus. Michael Lehn, wissenschaftlicher Angestellter in der Abteilung Numerik an der Universität Ulm, hat die Schwachstelle entdeckt und auf einer Webseite dokumentiert.

Als Schutzmaßnahme gegen mögliche Attacken empfiehlt Lehn, die Option "'Sichere" Dateien nach dem Laden öffnen" im Bereich "Allgemein" der Safari-Einstellungen zu deaktivieren.

Die Sicherheitsexperten von Secunia stufen die Schwachstelle in ihrem Advisory als "extrem kritisch" ein. (kf)