Brian Mastenbrook hat zum x-ten Mal eine gravierende Lücke in Mac OS X entdeckt, dieses Mal betrifft sie den Safari-Browser von Apple: Hat man Safari selbst als RSS-Reader in den Safari-Einstellungen definiert, können entsprechend präparierte Websites ohne weitere Handlungen des Benutzers auf Daten wie sensitive Benutzerdaten wie E-Mail oder Kennwörter zugreifen!
I have discovered that Apple’s Safari browser is vulnerable to an attack that allows a malicious web site to read files on a user’s hard drive without user intervention. This can be used to gain access to sensitive information stored on the user’s computer, such as emails, passwords, or cookies that could be used to gain access to the user’s accounts on some web sites. The vulnerability has been acknowledged by Apple.
Immerhin gibt es anscheinend ein einfaches Mittel gegen die Sicherheitslücke: Man konfiguriert in Safari ein anderes Programm zur Nutzung von RSS, beispielsweise NetNewsWire.
All users of Mac OS X 10.5 Leopard who have not changed their feed reader application preference from the system default are affected, regardless of whether they use RSS feeds or use a different web browser (such as Firefox).
Und wer sagt jetzt, dass dieses Problem nicht auch NetNewsWire, oder andere RSS-Reader betrifft? Immerhin setzen die doch alle irgendwie auf die gleiche Technik, wie Safari, oder?
Früher oder später werden wir mehr Erfahrungen … ich gebe aber davon aus, dass die Empfehlung korrekt ist – es handelt sich um ein Safari-Problem im Zusammenhang mit RSS, das man vorläufig beheben kann, indem man nicht Safari als standardmässigen RSS-Reader konfiguriert.
Verwende zum Glück schon längere Zeit NetNewsWire als meinen Standard-Reader.
@wazi:
1/2 OT: Mit oder ohne NewsGator?
Mit NewsGator. Daheim verwende ich NetNewsWire, unterwegs auf dem iPhone ebenfalls NetNewsWire und in der Arbeit die Webseite newsgator.com.
Bei NetNewsWire schätze die Möglichkeit, dass sich Feeds deaktivieren lassen. So kann ich nach einiger Zeit wieder nachsehen, ob sich das Abonnement wieder lohnt … leider zeigt NewsGator solche Feeds jeweils an, obwohl ich sie gar nicht sehen möchte, sowohl online als auch auf dem iTouch. Kennst Du eine Lösung, damit «inaktive» Feeds nicht mehr angezeigt werden?
Hm, leider nicht. Wusste nicht mal, dass man Feeds kurzzeitig deaktivieren kann
Aber wenn ich einen Feed auf dem iPhone lösche, dann werde ich gefragt, ob ich ihn überall löschen will, oder nur auf dem iPhone.
Also es gibt auf newsgator.com anscheinend verschiedene Datenbanken, die man alle unterschiedlich einstellen kann.
Also man kann auswählen welcher Feed auf welchem Gerät zur Verfügung steht. Vielleicht ist das ja eine Möglichkeit für dich.
Hmmm, also ich lass mich ja gern belehren. Aber eigentlich sind doch RSS-Feeds nur einfache XML-Dateien in einem bestimmten Format.
Passwörter auslesen und so weiter ist ja eigentlich nur ein medienwirksamer Ausdruck für einen Zugriff auf die Platte. Wenn man jetzt also mit einem RSS-Feed auf fremde Platten zugreifen will, muss man ein Skript im RSS-Content verstecken.
Wie der jetzt visualisiert wird, ob beispielsweise die Ausführung von Javascript zulässig ist oder nicht, ist dann natürlich vom Client abhängig. Da kann ich mir aber auch nicht vorstellen, dass Safari da der einzige Kandidat ist, der sowas zulässt.
Also gilt doch eigentlich, was immer gilt: Schön aufpassen und gut abwägen, wem man vertraut und wem nicht.
Leider bei Websites inklusive RSS-Feeds kaum möglich … und selbst theoretisch vertrauenswürdige Websites können gehackt, missbraucht, usw. werden – dafür gibt es ja x Beispiele.
Es kommt noch schlimmer:
http://brian.mastenbrook.net/display/27
@Anonymus: Vielen Dank für Deinen Hinweis!
Demnach lässt sich die Sicherheitslücke nun wie folgt entschärfen: