Abo
  • Services:
Anzeige
Angreifer können die Update-Nachrichten verändern - und Code auf dem Rechner ausführen.
Angreifer können die Update-Nachrichten verändern - und Code auf dem Rechner ausführen. (Bild: Radek)

Angreifer können auch Code ausführen

Dazu werden nach Angaben von Radek folgende Komponenten benötigt: ein eigener FTP-Server, um Schadcode zu hosten, ein HTTP-Server, der als Appcast-Server dient, und umgeleiteter HTTP-Traffic von der eigentlichen Applikation zum eigenen HTTP-Server. Jetzt wird eine Einstellungsdatei des Mac-Terminals mit dem Namen UPGRADE.terminal geladen. In einer solchen Einstellungsdatei können beim Start auszuführende Kommandos voreingestellt werden.

Anzeige

Das aufgerufene Kommando lädt eine externe Ressource vom FTP-Server. Externe Ressourcen werden von OS X automatisch und ohne weitere Nachfrage nach /Volumes/ gemountet. Das gilt nach Angaben von Radek für FTP, SMB und AFP-Ressourcen. Der erzeugte lokale Pfad entspricht dem Namen des eigenen Servers. Die App wird über eine .terminal-Datei geöffnet. Auf diesem Wege findet durch das Betriebssystem keine Prüfung eines Zertifikats und auch keine Signaturprüfung statt. Der Gatekeeper-Sicherheitsmechanismus wird also umgangen.

Es ist nicht notwendig, ein Update zu forcieren, um den Angriff auszuführen. Die Applikationen prüfen in regelmäßigen Abständen selbst, ob Updates verfügbar sind - abwarten reicht also. In dem Post werden weitere mögliche Angriffe beschrieben. So ist es möglich, durch Manipulation des XML-Contents den Billion-Laughs-Angriff zu starten. Hier wird eine Schwäche für XML External Entitiy Processing (XXE) ausgenutzt. Dabei werden externe URIs durch XML-Parsing in die zurückgegebene XML-Antwort integriert. Im Beispiel zeigt Radek, wie er die Sequel-Applikation dazu bringen kann, mehr als 3 GByte Speicher zu belegen.

Nutzer könnten selbst prüfen, ob verschiedene Programme für die Angriffe anfällig sind und sich schützen. Einerseits kann die Auto-Update-Funktion bei den meisten Programmen deaktiviert werden. Erfahrene Nutzer können außerdem mit Wireshark prüfen, ob bestimmte Programme unverschlüsselt kommunizieren. Entwickler müssten bei der Konfiguration von Sparkle einen HTTPS-Link angeben. Außerdem sollten sie auf die aktuelle Version des Sparkle-Frameworks updaten.

 Sparkle-Installer: Gatekeeper-Sicherung für Macs lässt sich umgehen
eye home zur Startseite
Kommentarübersicht
Nicht wirklich ein Sparkle Problem
/mecki78 11. Feb 2016

Hier wird ein Bug in WebKit zusammen mit mehreren Bugs in OS X ausgenutzt um eine Datei...

Bin mal gespannt wer die Anspielung versteht.
Mr Miyagi 10. Feb 2016

Anzeige
Stellenmarkt
  1. AEVI International GmbH, Berlin
  2. MBtech Group GmbH & Co. KGaA, Stuttgart
  3. INTENSE AG, Würzburg, Köln (Home-Office)
  4. Fresenius Kabi Deutschland GmbH, Oberursel
Anzeige
Hardware-Angebote
  1. 24,04€
  2. jetzt bei Caseking
  3. 629€ + 5,99€ Versand
Folgen Sie uns
       
Videos
Tomb Raider (2018) - Trailer Tomb Raider (2018) - Trailer
Ticker
  1. Bundestagswahl 2017

    Ein Hoffnungsschimmer für die Netzpolitik

  2. iZugar

    220-Grad Fisheye-Objektiv für Micro Four Thirds vorgestellt

  3. PowerVR

    Chinesen kaufen Imagination Technologies

  4. Zukunftsreifen

    Michelin will schwammartiges Rad für fahrerlose Autos bauen

  5. Bundestagswahl 2017

    Union und SPD verlieren, Jamaika-Koalition rückt näher

  6. IFR

    Zahl der verkauften Haushaltsroboter steigt stark an

  7. FTTH

    CDU für Verkauf der Telekom-Aktien

  8. Konkurrenz

    Unitymedia gegen Bürgerprämie für Glasfaser

  9. Arduino MKR GSM und WAN

    Mikrocontroller-Boards überbrücken weite Funkstrecken

  10. Fahrdienst

    London stoppt Uber, Protest wächst

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
E-Paper
E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7
Cebit 2016
Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche
Apache
Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben
Forumsbeiträge »
  1. Bundestagswahl 2017 Union und SPD verlieren, Jamaika-Koalition rückt näher

    Re: Jamaika wird nicht halten

    Markus08 | 08:21

  2. Bundestagswahl 2017 Union und SPD verlieren, Jamaika-Koalition rückt näher

    Re: Ich feier das Ergebnis der AfD!

    Ispep | 08:20

  3. Zukunftsreifen Michelin will schwammartiges Rad für fahrerlose Autos bauen

    Re: So ein Quatsch - was ist das für ein Blödsinn

    ArcherV | 08:14

  4. NH-L9a-AM4 und NH-L12S Noctua bringt Mini-ITX-Kühler für Ryzen

    Re: Das stimmt imho so nicht, ...

    ArcherV | 08:04

  5. Bundestagswahl 2017 Union und SPD verlieren, Jamaika-Koalition rückt näher

    Re: wieso denn Neuwahlen?

    RipClaw | 08:01

Ticker »
  1. Bundestagswahl 2017 Ein Hoffnungsschimmer für die Netzpolitik

    07:52

  2. iZugar 220-Grad Fisheye-Objektiv für Micro Four Thirds vorgestellt

    07:33

  3. PowerVR Chinesen kaufen Imagination Technologies

    07:25

  4. Zukunftsreifen Michelin will schwammartiges Rad für fahrerlose Autos bauen

    07:17

  5. Bundestagswahl 2017 Union und SPD verlieren, Jamaika-Koalition rückt näher

    19:04

  6. IFR Zahl der verkauften Haushaltsroboter steigt stark an

    15:18

  7. FTTH CDU für Verkauf der Telekom-Aktien

    13:34

  8. Konkurrenz Unitymedia gegen Bürgerprämie für Glasfaser

    12:03

  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  / 
    Zum Artikel