OS X: Sicherheitslücke in Updater-Software Sparkle öffnet Angreifern die Tür

Holger Eilhard

DuetDisplay, Sketch, uTorrent, Camtasia, Adium und VLC sind nur einige der Projekte, die das Framework Sparkle zum Update ihrer Apps einsetzen. Eine Sicherheitslücke in dieser Software erlaubt einen sogenannten Man-in-the-Middle-Angriff.

Wie ArsTechnica berichtet, kann die Lücke sowohl in OS X Yosemite als auch OS X El Capitan ausgenutzt werden. Betroffen sind Anwendungen, die Sparkle als integrierten Updater einsetzen – der Update-Mechanismus von OS X selbst oder der App Store sind nicht betroffen.

Das Problem entsteht prinzipiell dadurch, dass Sparkle in einigen Fällen unsichere Verbindungen via HTTP und nicht etwa über HTTPS herstellt. Dadurch kann es einem Angreifer gelingen die Anwendung des Nutzers – ohne dessen Wissen – mit einer gefälschten Version auszutauschen. Der Anwender denkt es handele sich hierbei um ein normales Update.

Bilderstrecke starten(61 Bilder)
Neue Retina-Wallpaper für iPhone, iPad und Mac zum Download

Auf YouTube ist eine Demonstration des Angriffs zu sehen:

Für einen Angriff muss lediglich die Verbindung des Nutzers, auf dem eine Anwendung nach einem Update sucht, belauscht werden und eine gefälschte Antwort an die Anwendung gesendet werden. Daher der Name Man-in-the-middle (Mittelsmannangriff).

Sparkle hat sein Framework bereits aktualisiert und im gleichen Schritt auch weitere Lücken beseitigt. Nun liegt es an den Entwicklern der Software, die diesen Update-Mechanismus einsetzen, ihre Apps zu aktualisieren. Unter anderem die Macher von VLC haben dies bereits in der vergangenen Woche getan. Andere betroffene Anwendungen dürften in den kommenden Stunden und Tagen entsprechende Updates erhalten. Bis dies geschehen ist, sollten Updates über unsichere (Wi-Fi-)Netzwerke gemieden werden.

Eine genauere Beschreibung der Sicherheitslücke ist bei VulnSec zu finden.

Zu den Kommentaren

Kommentare zu dieser News

* Werbung