• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Es regnet, ist neblig und kalt, alle sind krank und der Chef wird zunehmend cholerisch. Das Thema des Monats ist also folgerichtig --> Das Grau(en)
    Wir sind gespannt, war Euch dazu einfällt! Zum Wettbewerb --> Klick
  • Auch in diesem Jahr möchten wir auf unserer Webseite mit einem passenden Banner etwas weihnachtliche Stimmung verbreiten. Jeder Apfeltalker kann, darf und sollte uns einen Banner-Entwurf zusenden, wie und wo das geht, könnt Ihr hier nachlesen --> Klick

Safari 6.0.5: Sicherheitslücke ermöglicht Zugriff auf verwendete Passwörter

Marc Freudenhammer

Marc Freudenhammer

Horneburger Pfannkuchenapfel
Registriert
19.07.09
Beiträge
1.409
Eine ältere Version von Apples Safari-Browser enthält offenbar eine unangenehme Sicherheitslücke. Das geht aus einem aktuellen Blogeintrag von dem Sicherheitsexperten Vyacheslav Zakorzhevsky von Kaspersky hervor. Es geht um die Möglichkeit, zuvor in Safari verwendete Passwörter nachträglich auszulesen. Betroffen ist allerdings nur die Version 6.0.5 unter Mac OS X 10.7.5 oder Mac OS X 10.8.5.[PRBREAK][/PRBREAK]

Um an die gespeicherten Passwörter zu gelangen muss der potenzielle Angreifer allerdings zuerst Zugriff auf den Mac haben. Dann allerdings soll das Auslesen derselben keine große Kunst mehr sein. Der Knackpunkt sei die Wiederherstellungs-Funktion zum Öffnen der zuletzt geschlossenen Browserfenster, heißt es bei Kaspersky. Die dazu benötigte plist-Datei würde nämlich uncodiert abgespeichert. Was letztlich bedeutet, dass auch die verwendeten Passwörter dort herausgefiltert werden können. Auch wenn sich die Datei namens LastSession.plist in einem versteckten Ordner befindet, kann sie von jedem Nutzer angezeigt und ausgelesen werden. Man habe die Lücke bereits an Apple weitergeleitet, schreibt Zakorzhevsky. Eine Reaktion aus Cupertino steht aber bislang noch aus.

safari_loophole_01.jpg
Via SecureList
 
Zuletzt bearbeitet von einem Moderator:
Der Kulli

Der Kulli

Stina Lohmann
Registriert
23.04.10
Beiträge
1.042
Habe ich das richtig gelesen, wenn man z.B. 10.8.3 nutzt hat man das Problem nicht?

Gut das ich 1Password nutzte
 
deloco

deloco

Weißer Winterkalvill
Registriert
14.11.07
Beiträge
3.505
Oder einfach den aktuellen Safari…

Um an die gespeicherten Passwörter zu gelangen muss der potenzielle Angreifer allerdings zuerst Zugriff auf den Mac haben.
Zum Vergrößern anklicken....
Und wie immer gilt: Wenn jemand Zugang zu einem Gerät hat, kommt er auch an die Daten…
Ist ja letztendlich nichts besonderes.
 

Zonk

Schöner von Nordhausen
Registriert
05.06.13
Beiträge
316
Trotzdem bekloppt, Passwörter unverschlüsselt abzulegen!
 

Cohni

Ananas Reinette
Unvergessen
Registriert
04.08.11
Beiträge
6.206
iMerkopf schrieb:
Ist doch normal; das macht Chrome genauso...
Zum Vergrößern anklicken....

Nee...falscher Ansatz. Nur weil Chrome das genauso macht, ist es nicht normal...;).

Allerdings betrifft es ja "nur" ältere Versionen, was meinerseits eine sehr begrenzte Aufregung ob des Problemes verursacht.
 
MacMark

MacMark

Jakob Lebel
Registriert
01.01.05
Beiträge
4.874
Nach einer Seite Panikmache steht in der letzten Zeile: "This vulnerability has been fixed in Safari 6.1"

Außerdem ist ~/Library/Safari/LastSession.plist nur für den eigenen User lesbar. Nix mit "with unrestricted access".

Zum Ausprobieren:

Code: 
plutil -convert xml1 ~/Library/Safari/LastSession.plist
cat ~/Library/Safari/LastSession.plist > encoded.txt
openssl base64 -d -in 'encoded.txt' -out 'clear.txt'

In clear.txt dann suchen.
 
  • Like
Reaktionen: raven
Du musst dich einloggen oder registrieren, um hier zu antworten.
2003-2024 Apfeltalk | Made on a Mac
Oben Unten