Ein Sicherheitsforscher hat Lücken in zahlreichen Mac-Anwendungen entdeckt, die sie für Man-in-the-Middle-Angriffe anfällig machen. Die Schwachstellen stecken im Drittanbieter-Framework Sparkle, über das viele Apps Updates beziehen. Da sie beim Aktualisierungsvorgang eine unverschlüsselte HTTP-Verbindung zum Update-Server aufbauen, können Angreifer im selben Netzwerk theoretisch den Datenstrom abfangen und modifizieren. Von den Lecks betroffen sind laut Ars Technica unter anderem die Videosoftware Camtasia und der BitTorrent-Client uTorrent.
Das Problem hängt demnach auch damit zusammen, wie Sparkle mit in der Rendering-Engine WebKit integrierten Funktionen zum Ausführen von JavaScript umgeht. Dadurch sind Angreifer auf relativ einfache Weise in der Lage, Schadcode in das System einzuschleusen. Dem Sicherheitsforscher Radek von Vulnerable Security zufolge sind sowohl das aktuelle OS X 10.11 El Capitan als auch die Vorgängerversion 10.10 Yosemite betroffen. In einem Video demonstriert er einen Proof-of-Concept-Angriff anhand der MySQL-Datenbank-Management-App Sequel Pro.
Radeks Forscherkollege Simone Margaritelli hat die Angriffsmethode noch verfeinert. In einem Blogbeitrag erläutert er, wie er die Schwachstelle auf einem vollständig gepatchten Mac mit der zu dem Zeitpunkt aktuellen Version des VLC Media Player ausnutzen konnte. Inzwischen haben die VLC-Entwickler aber eine neue Version ihres Medienplayers veröffentlicht, in der die Lücke geschlossen wurde.
Wie viele Mac-Apps genau von den Lecks betroffen sind, ist unklar. Radek spricht nur von einer „riesigen“ Anzahl und listet neben Camtasia 2.10.4 sowie uTorrent 1.8.7 auch DuetDisplay 1.5.2.4 und Sketch 3.5.1 auf. Laut Ars Technica sind zudem das Reverse-Engineering-Tool Hopper sowie das Fotobearbeitungsprogramm DxO OpticsPro anfällig.
Sparkle hat einen Fix für die in seinem Framework entdeckten Schwachstellen bereitgestellt. Allerdings müssen Entwickler dafür das Framework innerhalb ihrer Apps aktualisieren, was Radek zufolge nicht ganz einfach ist. Zudem müssten die verwendeten Update-Server so eingerichtet werden, dass sie ausschließlich verschlüsselte HTTPS-Verbindungen akzeptieren.
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
