Safari 10.1.1, das im Rahmen des heutigen kleinen Softwareupdates für macOS Sierra 10.12.5 herausgebracht wurde, behebt eine weitere Instanz von Adressleisten-Spoofing. Dies ist eine gute Nachricht, da der Browser Sie jetzt vor Phishing-Angriffen schützen kann, die Sie normalerweise dazu verleiten würden, den Eindruck zu erwecken, dass Sie eine echte Website statt einer in böswilliger Absicht erstellten Webseite besucht haben.
Laut Sicherheitsdokument des Unternehmens behebt die Software einen Fehler, bei dem der Besuch einer böswilligen Website zu Spoofing der Adressleiste führen kann. "Ein inkonsistentes Benutzeroberflächenproblem wurde mit einer verbesserten Statusverwaltung behoben", so Apple.
Sogar Leute, die sehr auf Phishing bedacht sind, sind anfällig für Spoofing.
Die Raffinesse der heutigen Phishing-Angriffe wurde deutlich, als der chinesische Sicherheitsforscher Xudong Zheng demonstrierte, wie leicht sich Benutzer dazu verleiten ließen, eine gefälschte Website zu besuchen, auf der scheinbar die richtige URL in der Adressleiste angezeigt wird.
Um sich in Zukunft vor solchen Angriffen zu schützen, geben Sie die URL der Website, die Sie besuchen möchten, manuell ein oder wählen Sie Ihre Lieblingswebsite aus dem Menü "Lesezeichen" von Safari aus. Natürlich sollten Sie es vermeiden, auf verdächtige Links in einer E-Mail-Nachricht zu klicken, auch wenn sie anscheinend von einem Ihnen persönlich bekannten Kontakt stammen.
Die gepatchte Sicherheitslücke wurde in Safari für MacOS, nicht für iOS, entdeckt.
Apple schreibt Zhiyang Zeng und Yuyang Zhou von Tencent Security Platform Department die Entdeckung der Sicherheitslücke CVE-2017-2500 und Zhiyang Zeng von Tencent Security Platform Department die Entdeckung der Sicherheitslücke CVE-2017-2511 zu.
Darüber hinaus hat Safari 10.1.1 ein Problem im Safari-Verlaufsmenü behoben, das nach dem Besuch einer in böswilliger Absicht erstellten Webseite zu einem Denial-of-Service für Anwendungen führen konnte. Das Problem wurde durch ein verbessertes Speicherhandling behoben.
Schließlich enthält Safari 10.1.1 auch Patches für bis zu sieben Schwachstellen, die in der WebKit-Rendering-Engine entdeckt wurden, von denen fünf sich mit universellem Cross-Site-Scripting befassen, während ein Problem mit dem Web Inspector von WebKit behoben wurde, bei dem eine App nicht signierten Code ausführen konnte.
Safari 10.1.1 ist für OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 und macOS Sierra 10.12.5 verfügbar. Apple hat heute auch ein kleines Update für iTunes für Mac und Windows veröffentlicht.
iTunes 12.6.1 enthält nicht spezifizierte App- und Leistungsverbesserungen sowie einen Fix für einen WebKit-Exploit unter Windows 7 und höher, der nach der Verarbeitung von in böswilliger Absicht erstellten Webinhalten zur Ausführung von willkürlichem Code führen kann.