Microsoft warnt vor der Verwendung von Apples Webbrowser Safari in der Default-Einstellung. Eine Kombination des Default-Download-Verzeichnisses von Safari (dem Desktop) und der Behandlung von ausführbaren Dateien durch den Windows-Desktop erlaubt demnach über eine bösartige Webseite die Ausführung beliebigen Codes. Dabei wird eine ausführbare Datei mit Schadcode auf dem Desktop gespeichert und danach automatisch ausgeführt. Laut Microsoft sind bisher keine Angriffe über diese Schwachstelle bekannt.

Keine Lösung, kein Workaround

Als Workaround kann laut Microsoft das Default-Download-Verzeichnis von Safari auf einen anderen Ort als den Desktop gesetzt werden. Das ist sowieso zu empfehlen, denn wer will sich schon den Desktop mit Downloads zumüllen?

Aviv Raff, der die Schwachstelle entdeckt hat, hat weitere Informationen veröffentlicht. Demnach ist die Ursache das Zusammenwirken von Safaris Default-Download-Verzeichnis und einer altbekannten Schwachstelle im Internet Explorer. Da Apple die als 'Carpet Bomb' bezeichnete Schwachstelle nicht als solche ansieht (das automatische Vollmüllen des Desktops ist auch nicht unbedingt als Schwachstelle zu betrachten, das schaffen viele Benutzer auch ganz ohne Programm), ist vorerst wohl Microsoft am Zug: Die seit längerem bekannte Schwachstelle im Internet Explorer muss behoben werden.

Laut Aviv Raff kann die Schwachstelle auch dann noch ausgenutzt werden, wenn das Download-Verzeichnis in Safari geändert wird. Und außer über den Internet Explorer könnte der Angriff auch über Schwachstellen in anderen Programme erfolgen. Auch nach der Korrektur der Schwachstelle im Internet Explorer bleibt also eine potentielle Gefahr bestehen. Wie groß die ist, kann erst nach Vorliegen weiterer Informationen abgeschätzt werden.
Als Workaround bleibt also nur, auf die Benutzung von Safari zu verzichten.

Carsten Eilers