Sicherheitslücke in Safari mit iOS 5.1 entdeckt

David Vieira-Kurz von Majorsecurity hat eine Sicherheitslücke im Safaribrowser von iOS 5.1 entdeckt. Eine Demonstration der Lücke kann jeder selbst ausprobieren, indem er die Adresse http://majorsecurity.net/html5/ios51-demo.html in das Adressfenster von Safari eingibt, und bei der Seite die sich dann öffnet auf “Demo” klickt. Dann öffnet sich in einem neuen Fenster die Apple-Hauptseite, die aber oben den Hinweis enthält, dass sie immer noch von Major Security gehostet wird. Die Adresse oben im Adressfeld lautet trotzdem Apple.com. Der Fehler liegt im Java-Skript beim Öffnen neuer Fenster, und ermöglicht es Betrügern, Seiten zu faken und damit Daten auszuspionieren. Denn wenn der Hosthinweis in der Demo fehlen würde, wäre kein Unterschied zur Apple-Hauptseite zu erkennen (siehe Screenshots).

Schützen könnt ihr euch davor momentan nicht. Da die Sicherheitslücke nun veröffentlicht wurde, sollte es aber nicht allzu lange dauern, bis Apple ein entsprechendes Update herausbringt.