Angreifer können auch Code ausführen

Dazu werden nach Angaben von Radek folgende Komponenten benötigt: ein eigener FTP-Server, um Schadcode zu hosten, ein HTTP-Server, der als Appcast-Server dient, und umgeleiteter HTTP-Traffic von der eigentlichen Applikation zum eigenen HTTP-Server. Jetzt wird eine Einstellungsdatei des Mac-Terminals mit dem Namen UPGRADE.terminal geladen. In einer solchen Einstellungsdatei können beim Start auszuführende Kommandos voreingestellt werden.

Stellenmarkt
  1. Software-Entwickler (m/w/d) ORACLE - WEB
    Rieker Holding AG, Thayngen
  2. SAP Nachwuchsführungskraft als Entwicklungsleiter (m/w/x)
    über duerenhoff GmbH, Stuttgart
Detailsuche

Das aufgerufene Kommando lädt eine externe Ressource vom FTP-Server. Externe Ressourcen werden von OS X automatisch und ohne weitere Nachfrage nach /Volumes/ gemountet. Das gilt nach Angaben von Radek für FTP, SMB und AFP-Ressourcen. Der erzeugte lokale Pfad entspricht dem Namen des eigenen Servers. Die App wird über eine .terminal-Datei geöffnet. Auf diesem Wege findet durch das Betriebssystem keine Prüfung eines Zertifikats und auch keine Signaturprüfung statt. Der Gatekeeper-Sicherheitsmechanismus wird also umgangen.

Es ist nicht notwendig, ein Update zu forcieren, um den Angriff auszuführen. Die Applikationen prüfen in regelmäßigen Abständen selbst, ob Updates verfügbar sind - abwarten reicht also. In dem Post werden weitere mögliche Angriffe beschrieben. So ist es möglich, durch Manipulation des XML-Contents den Billion-Laughs-Angriff zu starten. Hier wird eine Schwäche für XML External Entitiy Processing (XXE) ausgenutzt. Dabei werden externe URIs durch XML-Parsing in die zurückgegebene XML-Antwort integriert. Im Beispiel zeigt Radek, wie er die Sequel-Applikation dazu bringen kann, mehr als 3 GByte Speicher zu belegen.

Nutzer könnten selbst prüfen, ob verschiedene Programme für die Angriffe anfällig sind und sich schützen. Einerseits kann die Auto-Update-Funktion bei den meisten Programmen deaktiviert werden. Erfahrene Nutzer können außerdem mit Wireshark prüfen, ob bestimmte Programme unverschlüsselt kommunizieren. Entwickler müssten bei der Konfiguration von Sparkle einen HTTPS-Link angeben. Außerdem sollten sie auf die aktuelle Version des Sparkle-Frameworks updaten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Sparkle-Installer: Gatekeeper-Sicherung für Macs lässt sich umgehen
  1.  
  2. 1
  3. 2


Aktuell auf der Startseite von Golem.de
Treibstoffe
E-Fuels-Produktion in der Praxis

Über E-Fuels, also aus Ökostrom hergestellte Kraftstoffe, wird viel diskutiert. Real produziert werden sie bislang kaum.
Von Hanno Böck

Treibstoffe: E-Fuels-Produktion in der Praxis
Artikel
  1. Klimaschutz: Verbrennerkauf - warum der Verkehrsminister Recht hat
    Klimaschutz
    Verbrennerkauf - warum der Verkehrsminister Recht hat

    Bundesverkehrsminister Volker Wissing (FDP) warnt vor dem Kauf neuer Autos mit Verbrennungsmotor, weil fossile Brennstoffe keine Lösung sind - auch nicht als E-Fuels.
    Ein IMHO von Andreas Donath

  2. VR/AR: Apple stößt bei seiner Brille wohl auf massive Probleme
    VR/AR
    Apple stößt bei seiner Brille wohl auf massive Probleme

    Das VR-AR-Brillen-Projekt von Apple soll in Schwierigkeiten stecken. Die Prototypen überhitzen, was den Marktstart 2022 gefährdet.

  3. Datenschutz: Bremen und Brandenburg wollen aus Luca-App aussteigen
    Datenschutz
    Bremen und Brandenburg wollen aus Luca-App aussteigen

    Die Luca-App habe in den vergangen Jahren keinen großen Mehrwert gezeigt, heißt es aus Bremen. Unterdessen griff die Polizei auf die Daten der App zu.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u.a. WD Blue 3D 1TB 79€, be quiet! Straight Power 11 850W 119€ u. PowerColor RX 6600 Hellhound 529€) • Alternate: Weekend-Deals • HyperX Cloud II Wireless 107,19€ • Cooler Master MH752 54,90€ • Gainward RTX 3080 12GB 1.599€ • Saturn-Hits • 3 für 2: Marvel & Star Wars [Werbung]
    •  /