Microsoft: »Vorsicht vor Safari«
Nächste NewsSchon vor zwei Wochen warnten Sicherheitsexperten vor dem Fehlen einer User-Abfrage vor einem Download mit Apples Browser Safari. Nun schließt sich auch Microsoft den Warnungen an.
Mit dem Security Advisory 953818 schlägt Microsoft in die gleiche Bresche wie vor zwei Wochen Nitesh Dhanjani: Der Sicherheitsexperte hatte davor gewarnt, dass sich Safari-User unter Umständen Schadcode auf den Rechner holen können, weil der Browser bei Downloads nicht explizit nachfragt, so wie es andere Browser tun (siehe »Apples Safari mit Lecks«).
Microsofts Sorge bezieht sich allerdings auf eine Kombination aus dem fehlenden User-Dialog und einer nicht näher beschriebenen Sicherheitslücke in Windows XP und Windows Vista. »Eine Kombination aus dem Speicherort für Downloads im Safari-Browser und der Art, wie Windows ausführbare Dateien auf dem Desktop behandelt, kann dazu führen, dass Schadsoftware automatisch heruntergeladen und ausgeführt wird, ohne dass der Nutzer dem Download zugestimmt hat«, so Microsoft. Das Standard-Verzeichnis zum Ablegen von Downloads bei Safari ist der Desktop. Und anscheinend haben XP und Vista ein Problem damit, wenn EXE-Dateien einfach so auf den Desktop kopiert werden.
Einen Workaround bis zum Erscheinen eines Patches — der laut Redmond in Form eines Service Packs, eines Patches oder eines Updates unabhängig von Patchdays erscheinen kann — hat Microsoft parat: Wer auf Safari nicht verzichten möchte, sollte im Browser ein anderes Standard-Verzeichnis für Downloads als den Desktop wählen.
Quelle: Tom's Hardware
- Welchen Browser nutzt ihr? [Browser, Email, Messenger, VoIP]
- Safari 3 Public Beta - Apple bietet Browser für Windows an [Browser, Email, Messenger, VoIP]
- Sicherheit Browser IE 7 vs Mozilla Firefox ? [Browser, Email, Messenger, VoIP]
- RAM+CPU Problem [Übertakten von CPUs, Grafikchips & Speicher]
- MacOSX auf Intel-Laptop [Off Topic]
Haben Sie Fragen? Die Tom's Hardware Community hilft!
Verwandte Forenthemen
»Die 5-Prozent-Hürde knacken« – Die Piratenpartei im Interview
Thomas Melchinger, Direktkandidat der Piratenpartei, über Ziele bei der Bundestagswahl, die Berichterstattung in den Medien und den Möglichkeiten seiner Partei nach einem Scheitern bei den Bundestagswahlen. Mehr
-
Gaming-Performance auf 6 Windows-Generationen im Vergleich
Mit jeder neuen Windows Version erfährt das Betriebssystem mal mehr, mal weniger starke Veränderungen. Wir haben untersucht, wie sich diese Veränderungen auf die Gaming-Performance auswirken und haben Spiele auf mehreren Windows-Versionen getestet. Mehr
-
Pcvisit: Fernhilfe für XP und Vista
Wer die PC-Probleme anderer Menschen lösen will, muss nicht unbedingt zu ihnen hinfahren. Fernhilfe übers Internet ist da deutlich effizienter. Der Helfer holt sich die Windows-Oberfläche des Hilfesuchenden auf seinen Rechner und zeigt, wie es geht. Mehr
Hmm.. und falls nicht "einfach so"?
Bsp: *.exe wird gewollt auf Desktop gespeichert, denn bei mir landen alle Downloads temporär auf dem Desktop.... unsafe?
@stanfordbinet: Schwer zu sagen, ob unsafe. Über die exakte Sicherheitslücke lässt sich Microsoft ja noch nicht aus. Gut möglich, dass bei "nicht einfach so", also mit Abfrage-Dialog vom Browser, der Desktop genauso sicher oder unsicher ist wie ein anderes Verzeichnis.
warum hat vista ein problem damit der desktop ist doch an sich auch nur ein ordner wie jeder anderer nur das sein inhalt ständig angezeigt wird also würd ich sagen das die größere lücke bei windows liegt
(nachfragt und nicht nachfrägt -- bitte ändern)
Windows versucht grundsätzlich, bei offenen Ordnern für alle Dateien nach Icons zu suchen und diese anzuzeigen. Da der Desktop nun mal ein stetig geöffneter Ordner ist, ist der Desktop weit unsicherer als z.B. C:\Downloads. Allerdings ist auch in anderen Ordnern keine Sicherheit geboten, wenn der Ordner geöffnet ist.
Die Lücke betrifft übrigens nicht nur XP und Vista - alle Windows-Versionen versuchen, Icons aus EXE-Dateien anzuzeigen, sobald der entsprechende Ordner geöffnet ist.
Das Problem ist immer noch, dass das Standard-Verhalten von Windows bekannt ist und dass sich Apple einen S*** darum kümmert, wie Kunden mit den Produkten klarkommen, die ihnen aufgezwungen werden.
Man kann übrigens das Anzeigen von Icons über ein paar tief in den Einstellungen verborgene Schalter ändern, aber Safari kann man, so sehr man es auch versucht, nicht beibringen, vor einem Download zu fragen, ob man diesen Download wirklich will.
Zu guter letzt scheint Safari ein Problem mit Virenscannern zu haben. Als ich Safari mal getestet habe, wurde vor einem Virus in einer Datei erst gewarnt, als die Datei bereits auf dem Rechner war. Bei Firefox und sogar beim IE wurde bereits vor dem Download gewarnt, dass es sich bei der Datei um einen Trojaner handelt und man konnte die Verbindung unterbrechen (=die Datei wurde nich gefunden, 404)...
Also wenn ein Programm in der Lage ist ungefragt Programme herunterzuladen, dann liegt die Lücke mit Sicherheit nicht bei Microsoft.
Sicherlich ist es kacke das der Safari Daten auf downloadet - doch ist es Windows eigene Schuld wenn Daten vom Desktop sich soweit "aufmachen" können!
Ich denke nicht dass das Problem bei Microsoft liegt wenn ein Programm, ohne nachzufragen, Dateien runterlädt und dadurch schadcode einschleust. Dabei muss man bedenken, dass es nicht nur bei Windows so ist sondern auch auf MacOSX.
PS: Für OSX gibt es genauso Schadcode und Dateien die man nicht automatisch runterladen will.
Und dann will Apple heute auch noch ein Update haben - und man muss mal wieder erwähnen, dass Safari mal wieder standardmäßig ausgewählt ist...
Hallo,
heute habe ich auch das Icon Safari auf meinem Desktop entdeckt. Es ist schön hier soviele Infos zu bekommen. Allerdings würde mich viel mehr interessieren was ich nun machen soll. Muss irgendwas deinstalliert werden?
Danke für eventuelle Antworten.
LG
Manuela