Abo
  • Services:
Anzeige
Angreifer können die Update-Nachrichten verändern - und Code auf dem Rechner ausführen.
Angreifer können die Update-Nachrichten verändern - und Code auf dem Rechner ausführen. (Bild: Radek)

Angreifer können auch Code ausführen

Dazu werden nach Angaben von Radek folgende Komponenten benötigt: ein eigener FTP-Server, um Schadcode zu hosten, ein HTTP-Server, der als Appcast-Server dient, und umgeleiteter HTTP-Traffic von der eigentlichen Applikation zum eigenen HTTP-Server. Jetzt wird eine Einstellungsdatei des Mac-Terminals mit dem Namen UPGRADE.terminal geladen. In einer solchen Einstellungsdatei können beim Start auszuführende Kommandos voreingestellt werden.

Anzeige

Das aufgerufene Kommando lädt eine externe Ressource vom FTP-Server. Externe Ressourcen werden von OS X automatisch und ohne weitere Nachfrage nach /Volumes/ gemountet. Das gilt nach Angaben von Radek für FTP, SMB und AFP-Ressourcen. Der erzeugte lokale Pfad entspricht dem Namen des eigenen Servers. Die App wird über eine .terminal-Datei geöffnet. Auf diesem Wege findet durch das Betriebssystem keine Prüfung eines Zertifikats und auch keine Signaturprüfung statt. Der Gatekeeper-Sicherheitsmechanismus wird also umgangen.

Es ist nicht notwendig, ein Update zu forcieren, um den Angriff auszuführen. Die Applikationen prüfen in regelmäßigen Abständen selbst, ob Updates verfügbar sind - abwarten reicht also. In dem Post werden weitere mögliche Angriffe beschrieben. So ist es möglich, durch Manipulation des XML-Contents den Billion-Laughs-Angriff zu starten. Hier wird eine Schwäche für XML External Entitiy Processing (XXE) ausgenutzt. Dabei werden externe URIs durch XML-Parsing in die zurückgegebene XML-Antwort integriert. Im Beispiel zeigt Radek, wie er die Sequel-Applikation dazu bringen kann, mehr als 3 GByte Speicher zu belegen.

Nutzer könnten selbst prüfen, ob verschiedene Programme für die Angriffe anfällig sind und sich schützen. Einerseits kann die Auto-Update-Funktion bei den meisten Programmen deaktiviert werden. Erfahrene Nutzer können außerdem mit Wireshark prüfen, ob bestimmte Programme unverschlüsselt kommunizieren. Entwickler müssten bei der Konfiguration von Sparkle einen HTTPS-Link angeben. Außerdem sollten sie auf die aktuelle Version des Sparkle-Frameworks updaten.

 Sparkle-Installer: Gatekeeper-Sicherung für Macs lässt sich umgehen
eye home zur Startseite
Kommentarübersicht
Nicht wirklich ein Sparkle Problem
/mecki78 11. Feb 2016

Hier wird ein Bug in WebKit zusammen mit mehreren Bugs in OS X ausgenutzt um eine Datei...

Bin mal gespannt wer die Anspielung versteht.
Mr Miyagi 10. Feb 2016

Anzeige
Stellenmarkt
  1. Daimler AG, Stuttgart
  2. Fresenius Netcare GmbH, Bad Homburg
  3. über Hanseatisches Personalkontor Berlin, Berlin
  4. Uhlmann Pac-Systeme GmbH & Co. KG, Laupheim
Anzeige
Hardware-Angebote
  1. 5,99€
  2. (reduzierte Überstände, Restposten & Co.)
  3. ab 13,99€
Folgen Sie uns
       
Videos
Viewsonic XG 2530 - Test Viewsonic XG 2530 - Test
Ticker
  1. Bundesverkehrsministerium

    Dobrindt finanziert weitere Projekte zum autonomen Fahren

  2. Mobile

    Razer soll Smartphone für Gamer planen

  3. Snail Games

    Dark and Light stürmt Steam

  4. IETF

    Netzwerker wollen Quic-Pakete tracken

  5. Surface Diagnostic Toolkit

    Surface-Tool kommt in den Windows Store

  6. Bürgermeister

    Telekom und Unitymedia verweigern Open-Access-FTTH

  7. Layton's Mystery Journey im Test

    Katrielle, fast ganz der Papa

  8. Kabel und DSL

    Vodafone gewinnt 100.000 neue Festnetzkunden

  9. New Technologies Group

    Intel macht Wearables-Sparte dicht

  10. Elektromobilität

    Staatliche Finanzhilfen elektrisieren Norwegen

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Moto Mods
Moto Z2 Play im Test: Bessere Kamera entschädigt nicht für kürzere Akkulaufzeit
Moto Z2 Play im Test
Bessere Kamera entschädigt nicht für kürzere Akkulaufzeit
  1. Modulares Smartphone Moto Z2 Play kostet mit Lautsprecher-Mod 520 Euro
  2. Lenovo Hochleistungs-Akku-Mod für Moto Z
  3. Moto Z Schiebetastatur-Mod hat Finanzierungsziel erreicht
Razer
Razer Lancehead im Test: Drahtlose Symmetrie mit Laser
Razer Lancehead im Test
Drahtlose Symmetrie mit Laser
  1. Razer Blade Stealth 13,3- statt 12,5-Zoll-Panel im gleichen Gehäuse
  2. Razer Core im Test Grafikbox + Ultrabook = Gaming-System
  3. Razer Lancehead Symmetrische 16.000-dpi-Maus läuft ohne Cloud-Zwang
Ikea
Ikea Trådfri im Test: Drahtlos (und sicher) auf Schwedisch
Ikea Trådfri im Test
Drahtlos (und sicher) auf Schwedisch
  1. Die Woche im Video Kündigungen, Kernaussagen und KI-Fahrer
  2. Augmented Reality Ikea will mit iOS 11 Wohnungen virtuell einrichten
  3. Space10 Ikea-Forschungslab untersucht Umgang mit KI
Forumsbeiträge »
  1. New Technologies Group Intel macht Wearables-Sparte dicht

    Intel verschwindet bald aus den Haushalten

    sofries | 22:36

  2. Snail Games Dark and Light stürmt Steam

    MMO aus 2008

    devzero | 22:32

  3. Mobile Razer soll Smartphone für Gamer planen

    Re: Gamer Smartphone?

    Neuro-Chef | 22:31

  4. Layton's Mystery Journey im Test Katrielle, fast ganz der Papa

    Re:

    My1 | 22:31

  5. Snail Games Dark and Light stürmt Steam

    Langweiliger Einheitsbrei für die breite Masse

    Bierfuerst | 22:31

Ticker »
  1. Bundesverkehrsministerium Dobrindt finanziert weitere Projekte zum autonomen Fahren

    16:55

  2. Mobile Razer soll Smartphone für Gamer planen

    16:33

  3. Snail Games Dark and Light stürmt Steam

    16:10

  4. IETF Netzwerker wollen Quic-Pakete tracken

    15:56

  5. Surface Diagnostic Toolkit Surface-Tool kommt in den Windows Store

    15:21

  6. Bürgermeister Telekom und Unitymedia verweigern Open-Access-FTTH

    14:10

  7. Layton's Mystery Journey im Test Katrielle, fast ganz der Papa

    14:00

  8. Kabel und DSL Vodafone gewinnt 100.000 neue Festnetzkunden

    12:38

  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  / 
    Zum Artikel