Apples Browser Safari für Windows und Mac kritisieren Sicherheitsexperten derzeit wegen einer Lücke. Drei Lecks stehen zur Diskussion, Apple sieht zwei davon als harmlos an.

Über die Sicherheitslecks berichtet Nitesh Dhanjani in seinem Blog. Alle drei Lücken hält er für gefährlich. Laut Dhanjani hat Apple jedoch nur für eine der drei einen Patch versprochen. Für welche, hält er noch zurück. Bei den beiden anderen sieht Apple keinen Handlungsbedarf und stuft sie nicht als relevant in Sachen Sicherheit ein.

Vor allem die fehlende User-Abfrage vor dem Download von Dateien — von Dhanjani Safari Carpet Bomb genannt — soll ein Risiko dar stellen. Mit einem Beispiel zeigt der Sicherheitsexperte, wie mit dem Besuch einer entsprechend manipulierten Website das Safari-Download-Verzeichnis ohne große Aktionen des Anwender mit Schadcode zugemüllt werden kann. Den Einsatz einer Download-Sicherheitsabfrage, wie man sie von Firefox, Internet Explorer & Co. kennt, sieht Apple lediglich als guten Vorschlag: »…the ability to have a preference to "Ask me before downloading anything" is a good suggestion. We can file that as an enhancement request for the Safari team. Please note that we are not treating this as a security issue, but a further measure to raise the bar against unwanted downloads«.

Weitere Gefahren sollen einerseits von einer nicht näher erläuterten Lücke ausgehen, die Dhanjani als äußerst riskant einstuft — vermutlich ist es diese, welche Apple bald mit einem Patch stopfen wird. Andererseits warnt Safari nicht, wenn beispielsweise eine lokale HTML-Datei ein Skript aufruft, auch dies haben andere Browser der Apple-Software voraus. Auch diese Funktion, rät Dhanjani sollte Apple künftig in Safari implementieren.