Browser-Sicherheit Safari-Browser speicherte Passwörter als Klartext

Browser sollen Internetnutzern das Surfen vor allem bequem machen. Manchmal bleibt die Sicherheit dabei auf der Strecke. Wie jüngst bekannt wurde, speichert eine ältere, aber noch verbreitete Safari-Version Passwörter leicht lesbar in einer Textdatei ab.

Safari-Browser (Symbolbild): Eine alte Programmversion speichert Passwörter in einer Textdatei
SPIEGEL ONLINE

Safari-Browser (Symbolbild): Eine alte Programmversion speichert Passwörter in einer Textdatei


Vergessene Internetadressen sind eine ärgerliche Sache. Nur zu leicht schließt man versehentlich ein Fenster oder kann sich nach einem Programm-Absturz nicht mehr an eine Adresse erinnern. Viele Browser bieten daher eine Funktion an, die vorherige Browser-Sessions speichert oder für den späteren Gebrauch vorhält. Fenster lassen sich so leicht wiederherstellen und vorher aufgerufene Seiten einfach finden.

Das Software- und Sicherheitsunternehmen Kaspersky Lab machte in dem Zusammenhang jüngst auf eine Sicherheitslücke in älteren Safari-Browsern aufmerksam: Das Speicherverfahren in älteren Versionen sei unsicher, heißt es. Der Browser speichere Login-Daten und Passwörter in einer Datei als Text ab. Hacker könnten über Viren und Malware diese Lücke ausnutzen und die Datei auslesen, um sich Zugriff auf die Benutzerkonten der Besitzer zu verschaffen.

Der Sicherheitsexperte Vyacheslav Zakorzhevsky teilte in einem Blog mit, dass die Funktion "Alle Fenster der letzten Session öffnen" für das "Schlupfloch" verantwortlich sei. Nutzerdaten, die für diese Funktion in einer versteckten Datei abgelegt sind, könnten problemlos angezeigt werden. Die Datei wird von alten, aber noch verbreiteten Safari-Versionen unverschlüsselt abgelegt.

Safari-Browser umgehend aktualisieren

Kaspersky hatte nach eigenen Angaben am 13. Dezember das Problem bei Apple gemeldet. Zu diesem Zeitpunkt seien noch keine Schadprogramme bekannt gewesen, die auf diese Lücke abzielen. Wie die Website "The Register" berichtet, habe sich Apple mit entsprechenden Meldungen über die Sicherheitslücke und Updates über das Wochenende zurückgehalten. Das könnte allerdings daran liegen, dass das Problem nur in älteren Safari-Versionen auftritt und über Updates auf aktuelle Versionen behoben sein sollte.

Die Sicherheitsexperten konnten die Lücke nur auf Macs reproduzieren, die mit dem Betriebssystem OSX 10.8.5 und 10.7.5 liefen. Die dort installierten Versionen 6.0.5 des Safari-Browsers seien die Ursache. Das aktuell ausgelieferte Safari-Programm in der Version 7.0 sei nicht von der Sicherheitslücke betroffen. Nutzer der älteren Vorgänger-Versionen sollten daher vorsichtshalber ihre Browser aktualisieren.

kpg



insgesamt 3 Beiträge
Alle Kommentare öffnen
Seite 1
Gott 17.12.2013
1. Ist doch egal
Firefox speichert die Passwörter verschlüsselt in einer Datenbank, legt aber die Schlüssel direkt in eine andere Datei in den gleichen Ordner. Das ist dann in etwa so sicher wie das abspeichern der Passwörter als Klartext ;-)
homerix 17.12.2013
2. ... selbst Firefox
Wenn es noch keinem aufgefallen ist, selbst Firefox macht das und das sogar bei seinen aktuellen Versionen. Sie speichern nicht nur das Passwort sondern auch schön die dazugehörige Webseite und den Benutzernamen. Vorausgesetzt, man sichert die Passwörter und Firefox nicht extra mit einem Masterpasswort ab. Aber von Default aus sind diese alle im Klartext zu lesen. Die Passwörter findet man unter "Einstellungen" > "Sicherheit" > "Gespeicherte Passwörter..." > "Passwörter Anzeigen" Das finde ich viel fataler bei einer der meistgenutzten Browser die es gibt, welcher doch immer so für seine Sicherheit gelobt wird. Nur brauch man bei Firefox kein Hacker oder etwas ähnliches sein...
Gott 17.12.2013
3.
Zitat von homerixWenn es noch keinem aufgefallen ist, selbst Firefox macht das und das sogar bei seinen aktuellen Versionen. Sie speichern nicht nur das Passwort sondern auch schön die dazugehörige Webseite und den Benutzernamen. Vorausgesetzt, man sichert die Passwörter und Firefox nicht extra mit einem Masterpasswort ab. Aber von Default aus sind diese alle im Klartext zu lesen. Die Passwörter findet man unter "Einstellungen" > "Sicherheit" > "Gespeicherte Passwörter..." > "Passwörter Anzeigen" Das finde ich viel fataler bei einer der meistgenutzten Browser die es gibt, welcher doch immer so für seine Sicherheit gelobt wird. Nur brauch man bei Firefox kein Hacker oder etwas ähnliches sein...
Ja natürlich speichern sie das Passwort und Benutzernamen und die zugehörige website. Das ist ja der Sinn dieser Funktion ;-) Und Firefox speichert weder Benutzernamen noch Passwort im Klartext, wenn Sie auf Passwörter Anzeigen klicken werden die Passwörter lediglich entschlüsselt und angezeigt.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.