Wie Jeremiah Grossmann von White Hat Security in seinem Blog schreibt, hat er den Hersteller bereits vor über einem Monat über die Schwachstelle und mögliche Risiken informiert, aber bislang keine Antwort von Apple erhalten.
Durch Nutzung der Sicherheitslücke ist es Angreifern möglich, über die «Automatisch ausfüllen»-Funktion des Safari-Browsers, die standardmässig aktiviert ist, persönliche Daten von Nutzern wie Name, Adresse, E-Mail-Adresse und Telefonnummer ohne deren Wissen und Einverständnis auszulesen. Eine präparierte Webseite reiche aus, um an diese Daten zu gelangen, betont der Sicherheitsexperte auf seiner Webseite.
Bis Apple sich der Schwachstelle angenommen hat, sollten Nutzer deshalb in den Browser-Einstellungen die Funktion «Informationen meiner Adressbuch-Visitenkarte übernehmen» unter dem Punkt «Automatisch ausfüllen» deaktivieren. Von dem Problem betroffen sind die Browser-Versionen Safari 4 und Safari 5.
Update für Firefox und Thunderbird erschienen
Auch bei Mozilla Firefox sowie beim E-Mail-Programm Thunderbird wurden jüngst Sicherheitslücken entdeckt.
Die «Automatisch ausfüllen»-Funktion des Safari-Browsers, welche die Schwachstelle enthält, ist standardmässig aktiviert. /
Für beide Programme sind jedoch schon entsprechende Updates zum Download freigegeben. Demnach wurden beim Firefox 3.6.7 insgesamt 14 Schwachstellen beseitigt, darunter auch acht als kritisch eingestufte Sicherheitslücken, über die es möglich gewesen wäre, Malware auszuführen. Mit Thunderbird 3.1.1 gehören nach der Aktualisierung nun zehn Schwachstellen der Vergangenheit an.
Nähere Details zu den Bugfixes gibt es wie immer auf der Mozilla-Webseite. Nutzern wird ein Update dringend empfohlen. Möglich ist dies entweder manuell oder via Auto-Update-Funktion der beiden Programme.
