Ein Sicherheitsforscher hat Lücken in zahlreichen Mac-Anwendungen entdeckt, die sie für Man-in-the-Middle-Angriffe anfällig machen. Die Schwachstellen stecken im Drittanbieter-Framework Sparkle, über das viele Apps Updates beziehen. Da sie beim Aktualisierungsvorgang eine unverschlüsselte HTTP-Verbindung zum Update-Server aufbauen, können Angreifer im selben Netzwerk theoretisch den Datenstrom abfangen und modifizieren. Von den Lecks betroffen sind laut Ars Technica unter anderem die Videosoftware Camtasia und der BitTorrent-Client uTorrent.
Das Problem hängt demnach auch damit zusammen, wie Sparkle mit in der Rendering-Engine WebKit integrierten Funktionen zum Ausführen von JavaScript umgeht. Dadurch sind Angreifer auf relativ einfache Weise in der Lage, Schadcode in das System einzuschleusen. Dem Sicherheitsforscher Radek von Vulnerable Security zufolge sind sowohl das aktuelle OS X 10.11 El Capitan als auch die Vorgängerversion 10.10 Yosemite betroffen. In einem Video demonstriert er einen Proof-of-Concept-Angriff anhand der MySQL-Datenbank-Management-App Sequel Pro.
Radeks Forscherkollege Simone Margaritelli hat die Angriffsmethode noch verfeinert. In einem Blogbeitrag erläutert er, wie er die Schwachstelle auf einem vollständig gepatchten Mac mit der zu dem Zeitpunkt aktuellen Version des VLC Media Player ausnutzen konnte. Inzwischen haben die VLC-Entwickler aber eine neue Version ihres Medienplayers veröffentlicht, in der die Lücke geschlossen wurde.
Wie viele Mac-Apps genau von den Lecks betroffen sind, ist unklar. Radek spricht nur von einer „riesigen“ Anzahl und listet neben Camtasia 2.10.4 sowie uTorrent 1.8.7 auch DuetDisplay 1.5.2.4 und Sketch 3.5.1 auf. Laut Ars Technica sind zudem das Reverse-Engineering-Tool Hopper sowie das Fotobearbeitungsprogramm DxO OpticsPro anfällig.
Sparkle hat einen Fix für die in seinem Framework entdeckten Schwachstellen bereitgestellt. Allerdings müssen Entwickler dafür das Framework innerhalb ihrer Apps aktualisieren, was Radek zufolge nicht ganz einfach ist. Zudem müssten die verwendeten Update-Server so eingerichtet werden, dass sie ausschließlich verschlüsselte HTTPS-Verbindungen akzeptieren.
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.
Weitere schwerwiegende Fehler stecken in Android 12 und 13. Insgesamt bringt der Mai-Patchday 29 Fixes.
IT-Sicherheit - Erkennen und Abwehren von digitalen Angriffen
Das iPhone 15 Pro Max ist das meistverkaufte Smartphone im ersten Quartal. Das Galaxy S24…
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.