Apfelnews Apple News Blog, iPhone, iPad, Mac & vieles mehr
Programme, die man nicht aus dem Mac App Store herunterlädt, bringen unter OS X häufig einen Updater mit, der nach neueren Versionen sucht, diese herunterladen und die alte Ausgabe im Papierkorb entsorgen kann. Der dafür verwendete Sparkle Updater hat eine Sicherheitslücke, die entsprechend auch Programme betrifft, die ihn verwenden.
Wir alle kennen dieses Dialogfeld: Es klärt darüber auf, dass eine neue Version eines Programms verfügbar ist und erläutert auch die Änderungen seit der Vorgängerausgabe. Das Dialogfeld gehört zum Sparcle Updater und ist weit verbreitet bei OS-X-Programmen. Wie Ars Technica berichtet, hat Radek eine Sicherheitslücke Ende Januar publik gemacht.
Man in the Middle
Die Sicherheitslücke ist inzwischen in der aktuellen Ausgabe des Sparkle Frameworks behoben. Programme, die noch ein älteres Framework einsetzen, sind hingegen noch immer für die Lücke anfällig. Es handelt sich dabei um einen möglichen Man-in-the-Middle-Angriff. Wenn das Programm eine ältere Version des Frameworks einsetzt und unverschlüsseltes HTTP (statt HTTPS) für die Kommunikation einsetzt, wäre es einem Angreifer möglich, die Kommunikation abzufangen und zu manipulieren. Auf diese Weise wäre es denkbar, dass anstatt des Updates Malware auf den Mac geladen wird.
Potenziell ist eine große Anzahl von Programmen betroffen, da der Sparkle Updater weit verbreitet ist. Es ist aber schwierig zu beziffern, wie groß die Anzahl tatsächlich ist. Bei GitHub wurde eine Liste erstellt, die stetig erweitert wird, die zusammenfasst, welche Programme den Update-Mechanismus für sich verwenden – was aber noch nicht heißt, dass all diese Programme für die gemeldete Lücke anfällig sind. Es ist außerdem wichtig anzumerken, dass es sich bei Sparkle Update um kein Systembestandteil von OS X handelt; System- und App-Updates kommen bei OS X über den Mac App Store, der nicht betroffen ist.
Ars Technica empfiehlt dringend, potenziell gefährdete Programme nicht über unverschlüsselte WLAN-Netzwerke zu aktualisieren, da hier die Gefahr einer Ausnutzung der Lücke vergleichsweise hoch ist.
