Ein Sicherheitsforscher hat Lücken in zahlreichen Mac-Anwendungen entdeckt, die sie für Man-in-the-Middle-Angriffe anfällig machen. Die Schwachstellen stecken im Drittanbieter-Framework Sparkle, über das viele Apps Updates beziehen. Da sie beim Aktualisierungsvorgang eine unverschlüsselte HTTP-Verbindung zum Update-Server aufbauen, können Angreifer im selben Netzwerk theoretisch den Datenstrom abfangen und modifizieren. Von den Lecks betroffen sind laut Ars Technica unter anderem die Videosoftware Camtasia und der BitTorrent-Client uTorrent.
Das Problem hängt demnach auch damit zusammen, wie Sparkle mit in der Rendering-Engine WebKit integrierten Funktionen zum Ausführen von JavaScript umgeht. Dadurch sind Angreifer auf relativ einfache Weise in der Lage, Schadcode in das System einzuschleusen. Dem Sicherheitsforscher Radek von Vulnerable Security zufolge sind sowohl das aktuelle OS X 10.11 El Capitan als auch die Vorgängerversion 10.10 Yosemite betroffen. In einem Video demonstriert er einen Proof-of-Concept-Angriff anhand der MySQL-Datenbank-Management-App Sequel Pro.
Radeks Forscherkollege Simone Margaritelli hat die Angriffsmethode noch verfeinert. In einem Blogbeitrag erläutert er, wie er die Schwachstelle auf einem vollständig gepatchten Mac mit der zu dem Zeitpunkt aktuellen Version des VLC Media Player ausnutzen konnte. Inzwischen haben die VLC-Entwickler aber eine neue Version ihres Medienplayers veröffentlicht, in der die Lücke geschlossen wurde.
Wie viele Mac-Apps genau von den Lecks betroffen sind, ist unklar. Radek spricht nur von einer „riesigen“ Anzahl und listet neben Camtasia 2.10.4 sowie uTorrent 1.8.7 auch DuetDisplay 1.5.2.4 und Sketch 3.5.1 auf. Laut Ars Technica sind zudem das Reverse-Engineering-Tool Hopper sowie das Fotobearbeitungsprogramm DxO OpticsPro anfällig.
Sparkle hat einen Fix für die in seinem Framework entdeckten Schwachstellen bereitgestellt. Allerdings müssen Entwickler dafür das Framework innerhalb ihrer Apps aktualisieren, was Radek zufolge nicht ganz einfach ist. Zudem müssten die verwendeten Update-Server so eingerichtet werden, dass sie ausschließlich verschlüsselte HTTPS-Verbindungen akzeptieren.
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…
