2175963

Lücke im Update-Framework ermöglicht Angriffe über OS-X-Apps

10.02.2016 | 10:50 Uhr |

Laut eines Sicherheitsexperten sind mehr als hundert Apps von einer Lücke in einem für Updates genutzten Framework betroffen.

Angriff statt Update: Arstechnica berichtet über einen Fehler im Sparkle-Framework , über das viele Apps für den Mac ihre Updates von einem Server beziehen. Eine fehlerhafte Implementation verursache einen offenen Kanal über http, eine Man-in-the-middle-Attacke könnte beim Udpate den Datenstrom abgreifen. Betroffene Apps sind unter anderem Camtasia oder uTorrent, die Entwickler des VLC Player haben die Lücke in der Anwendung bereits geschlossen.

Der Entwickler Radek hat die Lücke bereits Ende Januar gefunden, seitdem sind neue Einzelheiten bekannt geworden: Offenbar gibt es zwei unterschiedliche Fehler im Sparkle-Framework – die eine nutzt die ungesicherte Kommunikation, um die Daten abzugreifen und so zum Beispiel ein gefälschtes Update dem Nutzer unterzujubeln, die andere macht sich einen Fehler beim Parcing von FILE- und FTP-Protokollen zu nutzen, der erlaubt, eine XML-Datei (für das Update der App) auf dem Server zu ersetzen und so das gefälschte Update an alle Nutzer zu verteilen.

Nach Angaben des Entwicklers haben die Sparkle-Ingenieure die Lücken im Framework bereits geschlossen. Doch nun sind die einzelnen App-Entwickler am Zug, die die Neuerung implementieren müssen. Das Sparkle-Framework ist bei OS-X-Entwicklern populär, so nutzen viele Apps die Technik, um die Updates an eigene Nutzer zu pushen: Tunnelblick, Evernote, Flux, Geegbench 3, Coda 2, Stuffit Expander und viele mehr. Achtung: Dass diese Apps den Sparkle-Framework nutzen, bedeutet nicht automatisch, dass sie unsicher sind, mehrere Entwickler wie VLC nutzen bereits die sichere Version des Frameworks.

0 Kommentare zu diesem Artikel
2175963