« Schmorendes Netzteil im Video, Erinnerung an kostenlosen MagSafe-Austausch | Start | Skype unterstützt Multitasking in iOS 4, streicht geplante Gebühren für UMTS-Gespräche »
21.07.2010
Safari 4 und 5: Automatisches Ausfüllen als Schwachstelle [Update_2]
Ist in Safari 4 oder 5 das "automatische Ausfüllen" von Webformularen aktiviert, dann ist eine entsprechend vorbereitete Webseite in der Lage, persönliche Daten wie z.B. Namen, Adresse, E-Mail-Adresse oder z.B. auch die eigene Kreditkartennummer auszulesen, wenn diese Angaben irgendwann zuvor einmal bei einem Formular im Browser eingegeben worden sind. Eine präparierte Webseite würde diese Daten über die Integration üblicher Formularfelder und durch etwas JavaScript entlocken, das Anfangsbuchstaben sowie Zahlen durchprobiert bis der Browser die vollständige Angabe automatisch ergänzt - dies alles funktioniert nach Angabe des "White Hat Security"-CTOs Jeremiah Grossman ohne Nutzerinteraktion und kann auch versteckt ablaufen. Grossman will ein Proof-of-Concept der Angriffsmöglichkeit kommende Woche auf der Black-Hat-Sicherheitskonferenz vorstellen und angeblich wurde Apple über die Schwachstelle am 17. Juni in Kenntnis gesetzt. Bis zu einem Fix empfiehlt es sich, das automatische Ausfüllen in Safari komplett zu deaktivieren. (via heise Security)
Update 22.07.10 12:45 Uhr
Grossman veröffentlichte den Proof-of-Concept-Code inzwischen und spezifiziert in einem Blogeintrag, dass das hauptsächliche Problem im (standardmäßig eingeschalteten) automatischen Ergänzen der Informationen aus der eigenen Adressbuch-Visitenkarte besteht, die eben unmittelbar in entsprechende Formularfelder eingefügt werden (ohne dass diese jemals zuvor manuell in einem Formular eingegeben wurden) - mit einer Zahl startende Felder wie die Telefonnummer ließen sich allerdings aus "irgendeinem Grund" nicht auslesen.
Update_2 22.07.10 23:25 Uhr
"We’re aware of the issue and working on a fix", so ein Apple-Sprecher gegenüber Digital Daily.
Posted by Leo at 17:29 | Permalink
