Gerade bei Heise gefunden @@

Man kann den für Linux angegebenen Browsercheck auf OSX nutzen für einen Test, da die zugrundeliegende Struktur von OSX und Linux in dem Punkt gleich ist. Mein Test ergab:

• Safari zeigt die Datei nicht an, ist folglich sicher.
• Firefox zeigt die Datei an, ist folglich nicht so sicher.

Nachtrag:

• IE für Mac zeigt die Datei auch nicht an, ist folglich sicher.

Bei Safari muß man die Testdatei per Alt-Click runterladen, bevor man sie dann wie bei den anderen Browsern nach dem Herunterladen per Hand im Browser aufmacht.

Nur Firefox zeigt anschließend ein weiteres Fenster an mit dem Inhalt von /etc/passwd an.

Das kritische daran ist, daß die Datei zum Server zurückgeschickt wurde. Das ist bitte nicht zu verwechseln mit dem normalem Anzeigen von lokalen Dateien im Browser.

Noch ein Nachtrag:

In dem Beispiel wird die Datei nicht an den Server geschickt, aber es wäre möglich, wenn das Alertfenster per Javascript möglich ist.

Bin mal gespannt wie viele Tage es dauert bis eine Sicherheitsaktualisierung kommt.

Die Frage ist, ob man es überhaupt ein Sicherheitsproblem ist. Immerhin muß man eine Datei direkt öffnen oder nach dem Download öffnen. Da also Zutun des Users notwendig ist fällt es meiner Meinung nach eher unter Social Engineering.

Ich bin mir nicht mal klar darüber, ob das überhaupt eine Meldung wert ist. Wenn ich mir einen Schädling egal welcher Natur runterlade und lokal ausführe mache ich für den entstehenden Schaden wohl kaum meinen Browser verantwortlich.

...ist das wohl grösste Sicherheitsproblem, was es gibt.

MacMark , stiffler

Stimmt eigentlich.