23.03.2012, 11:43
Wie majorsecurity.net kürzlich herausfand, enthält der mobile Webbrowser Safari unter iOS 5.1 eine gravierende Sicherheitslücke.
„The weakness is caused due to an error within the handling of URLs when using javascript's window.open() method. This can be exploited to potentially trick users into supplying sensitive information to a malicious web site, because information displayed in the address bar can be constructed in a certain way, which may lead users to believe that they're visiting another web site than the displayed web site.“
Ein Fehler in der Verarbeitung von URLs beim Gebrauch von javascripts kann dazu führen, dass Benutzer auf einer bösartigen Seite private Informationen eingeben, da in der Adresszeile des Browsers eine beliebige, gutartige Adresse angezeigt wird.
Um es zu testen, besucht einfach diese Demo-Website mit eurem iDevice unter 5.1 und klickt auf Demo. Ihr werdet auf eine Seite geleitet, die ein identisches Abbild der Apple-Homepage ist, allerdings immer noch auf majorsecurity.net gehostet wird.
Apple selber weiß bereits seit drei Wochen um diesen Bug und hat den Fehler anerkannt, sodass wir in Kürze mit einem Fix in Form von iOS 5.1.1 rechnen können.
„The weakness is caused due to an error within the handling of URLs when using javascript's window.open() method. This can be exploited to potentially trick users into supplying sensitive information to a malicious web site, because information displayed in the address bar can be constructed in a certain way, which may lead users to believe that they're visiting another web site than the displayed web site.“
Ein Fehler in der Verarbeitung von URLs beim Gebrauch von javascripts kann dazu führen, dass Benutzer auf einer bösartigen Seite private Informationen eingeben, da in der Adresszeile des Browsers eine beliebige, gutartige Adresse angezeigt wird.
Um es zu testen, besucht einfach diese Demo-Website mit eurem iDevice unter 5.1 und klickt auf Demo. Ihr werdet auf eine Seite geleitet, die ein identisches Abbild der Apple-Homepage ist, allerdings immer noch auf majorsecurity.net gehostet wird.
Apple selber weiß bereits seit drei Wochen um diesen Bug und hat den Fehler anerkannt, sodass wir in Kürze mit einem Fix in Form von iOS 5.1.1 rechnen können.