Die erste der drei Sicherheitslücken scheint nur auf den ersten Blick harmlos. Sie ermöglicht es, die in der Adresszeile des Safari-Browsers angezeigte Url zu verfälschen. Phisher könnten das nutzen, um arglose Opfer beispielsweise auf eine gefälschte Banking-Website zu locken, während in der Adresszeile die Url der echten Banking-Website angezeigt wird.
Eine weitere Lücke ist die Anfälligkeit für Cross-Site-Scripting-Attacken. Bei Aufruf einer Seite X könnte so beispielsweise JavaScript-Code von einer Seite Y ausgeführt werden - ein Betrüger könnte sich auf diese Art die Session-ID eines Surfers beschaffen und damit auf der betreffenden Website dessen Identität übernehmen.
Ernst ist auch die dritte Sicherheitslücke, die unter den Oberbegriff Remote Code Execution fällt. Eine manipulierte Website könnte den Browser zum Absturz bringen und dabei Programmcode ausführen, der in die Website eingebettet ist. Damit bieten sich Cyberkriminellen unzählige Möglichkeiten.
iPhone-, iPod- und iPad-Nutzer sollten deshalb umgehend das Update installieren, auch wenn sie auf die von Apple in den Vordergrund gestellten kosmetischen Korrekturen vielleicht noch einige Zeit verzichten könnten.
