Safari mit gravierender RSS-Sicherheitslücke

Posted by on Jan 12, 2009 Tagged: , , , , , , , | 11 Comments

Brian Mastenbrook hat zum x-ten Mal eine gravierende Lücke in Mac OS X entdeckt, dieses Mal betrifft sie den Safari-Browser von Apple: Hat man Safari selbst als RSS-Reader in den Safari-Einstellungen definiert, können entsprechend präparierte Websites ohne weitere Handlungen des Benutzers auf Daten wie sensitive Benutzerdaten wie E-Mail oder Kennwörter zugreifen!

I have discovered that Apple’s Safari browser is vulnerable to an attack that allows a malicious web site to read files on a user’s hard drive without user intervention. This can be used to gain access to sensitive information stored on the user’s computer, such as emails, passwords, or cookies that could be used to gain access to the user’s accounts on some web sites. The vulnerability has been acknowledged by Apple.

Immerhin gibt es anscheinend ein einfaches Mittel gegen die Sicherheitslücke: Man konfiguriert in Safari ein anderes Programm zur Nutzung von RSS, beispielsweise NetNewsWire.

All users of Mac OS X 10.5 Leopard who have not changed their feed reader application preference from the system default are affected, regardless of whether they use RSS feeds or use a different web browser (such as Firefox).

11 Comments

  1. wazi
    12. Januar 2009

    Und wer sagt jetzt, dass dieses Problem nicht auch NetNewsWire, oder andere RSS-Reader betrifft? Immerhin setzen die doch alle irgendwie auf die gleiche Technik, wie Safari, oder?

    Reply
  2. Martin (MacMacken)
    13. Januar 2009

    Und wer sagt jetzt, dass dieses Problem nicht auch NetNewsWire, oder andere RSS-Reader betrifft? Immerhin setzen die doch alle irgendwie auf die gleiche Technik, wie Safari, oder?

    Früher oder später werden wir mehr Erfahrungen … ich gebe aber davon aus, dass die Empfehlung korrekt ist – es handelt sich um ein Safari-Problem im Zusammenhang mit RSS, das man vorläufig beheben kann, indem man nicht Safari als standardmässigen RSS-Reader konfiguriert.

    Reply
  3. wazi
    13. Januar 2009

    Verwende zum Glück schon längere Zeit NetNewsWire als meinen Standard-Reader.

    Reply
  4. Martin (MacMacken)
    13. Januar 2009

    @wazi:

    Verwende zum Glück schon längere Zeit NetNewsWire als meinen Standard-Reader.

    1/2 OT: Mit oder ohne NewsGator?

    Reply
  5. wazi
    13. Januar 2009

    Mit NewsGator. Daheim verwende ich NetNewsWire, unterwegs auf dem iPhone ebenfalls NetNewsWire und in der Arbeit die Webseite newsgator.com.

    Reply
  6. Martin (MacMacken)
    13. Januar 2009

    Mit NewsGator. Daheim verwende ich NetNewsWire, unterwegs auf dem iPhone ebenfalls NetNewsWire und in der Arbeit die Webseite newsgator.com.

    Bei NetNewsWire schätze die Möglichkeit, dass sich Feeds deaktivieren lassen. So kann ich nach einiger Zeit wieder nachsehen, ob sich das Abonnement wieder lohnt … leider zeigt NewsGator solche Feeds jeweils an, obwohl ich sie gar nicht sehen möchte, sowohl online als auch auf dem iTouch. Kennst Du eine Lösung, damit «inaktive» Feeds nicht mehr angezeigt werden?

    Reply
  7. wazi
    13. Januar 2009

    Hm, leider nicht. Wusste nicht mal, dass man Feeds kurzzeitig deaktivieren kann 🙂

    Aber wenn ich einen Feed auf dem iPhone lösche, dann werde ich gefragt, ob ich ihn überall löschen will, oder nur auf dem iPhone.

    Also es gibt auf newsgator.com anscheinend verschiedene Datenbanken, die man alle unterschiedlich einstellen kann.

    Also man kann auswählen welcher Feed auf welchem Gerät zur Verfügung steht. Vielleicht ist das ja eine Möglichkeit für dich.

    Reply
  8. JoeCGN
    13. Januar 2009

    Hmmm, also ich lass mich ja gern belehren. Aber eigentlich sind doch RSS-Feeds nur einfache XML-Dateien in einem bestimmten Format.

    Passwörter auslesen und so weiter ist ja eigentlich nur ein medienwirksamer Ausdruck für einen Zugriff auf die Platte. Wenn man jetzt also mit einem RSS-Feed auf fremde Platten zugreifen will, muss man ein Skript im RSS-Content verstecken.

    Wie der jetzt visualisiert wird, ob beispielsweise die Ausführung von Javascript zulässig ist oder nicht, ist dann natürlich vom Client abhängig. Da kann ich mir aber auch nicht vorstellen, dass Safari da der einzige Kandidat ist, der sowas zulässt.

    Also gilt doch eigentlich, was immer gilt: Schön aufpassen und gut abwägen, wem man vertraut und wem nicht.

    Reply
  9. Martin (MacMacken)
    13. Januar 2009

    Also gilt doch eigentlich, was immer gilt: Schön aufpassen und gut abwägen, wem man vertraut und wem nicht.

    Leider bei Websites inklusive RSS-Feeds kaum möglich … und selbst theoretisch vertrauenswürdige Websites können gehackt, missbraucht, usw. werden – dafür gibt es ja x Beispiele.

    Reply
  10. Anonymous
    14. Januar 2009

    Es kommt noch schlimmer:

    The original version of this page contained a simple workaround for this issue which I believed would protect users against this problem. I have since discovered (on 13 January 2009) that changing the default RSS feed reader application in Safari does not correctly disassociate Safari from all RSS feed URLs. The workaround section of this post has been updated with additional information. I regret that what initially appeared to be a simple workaround is now substantially more complicated and requires the installation of third-party software to perform.

    http://brian.mastenbrook.net/display/27

    🙄 🙄 🙄

    Reply
  11. Martin (MacMacken)
    14. Januar 2009

    @Anonymus: Vielen Dank für Deinen Hinweis!

    Demnach lässt sich die Sicherheitslücke nun wie folgt entschärfen:

    To work around this issue until a fix is released by Apple, users should perform the following steps:
    1. Download and install the RCDefaultApp preference pane, following the included instructions.
    2. Open System Preferences and choose the Default Applications option.
    3. Select the „URLs“ tab in the window that appears.
    4. Choose the „feed“ URL type from the column on the left, and choose a different application or the „“ option.
    5. Repeat the previous step for the „feeds“ and „feedsearch“ URL types.

    Reply

Leave a Reply