Wie die meisten anderen Browser kann auch Safari Ort und Zustand einer geöffneten Webseite speichern, wenn der Anwender die Sitzung beendet, damit sie beim erneuten Öffnen des Browsers wiederhergestellt werden kann.
Safari sichert diese Sessioninformationen in einer Datei namens LastSession.plist, wie ein Forscher der Sicherheitsfirma Kaspersky in einem Blogeintrag ausführt.
Die Datei liegt danach in einem versteckten Verzeichnis, aber der Zugriff darauf ist in keiner Weise beschränkt. Die in der Datei enthaltenen Daten sind auch nicht verschlüsselt, selbst dann nicht, wenn die Sitzung selbst HTTPS verwendet hatte.
Kaspersky konnte dieses gefährliche Verhalten für Safari 6.0.5 unter OS X 10.7.5 und OS X 10.8.5 nachweisen. Über die aktuelle Mac-OS-Version 10.9 Mavericks äußert sich der Sicherheitsanbieter in seinem Blog nicht. Es ist außerdem nicht klar, ob das Problem auch auf anderen Plattformen wie Windows oder iOS besteht.
Also besser vorsichtig mit Zugangsdaten in Safari sein, bis das geklärt ist.
