Mac: Sicherheitslücke im Sparkle Framework ermöglicht Hackerangriffe während App-Updates
Über das Sparkle Framework können Entwickler einfach Updates für ihr Mac-Apps verteilen. Doch das Netzwerk hat eine Sicherheitslücke, die es ermöglicht Man-in-the-Middle-Angriffe auszuführen und Schadsoftware zu installieren, wie jetzt entdeckt wurde. Betroffen ist davon eine große Anzahl von Apps unter OS X El Capitan und Yosemite.
Sicherheitslücken in Apps und Betriebssystemen kommen immer wieder vor und auch Apples iOS und OS X sind davon nicht ausgenommen. Nun wurde eine neue Sicherheitslücke entdeckt, die das Sparkle Framework betrifft und es ermöglicht Man-in-the-Middle"-Angriffe gegen Macs auszuführen, wie Arstechnica berichtet.
Während iOS und das dazugehörige App Ökosystem stark abgeschottet ist, können Entwickler von Mac Apps Updates über den Mac App Store oder auch andere Mechanismen verteilen. Eine davon ist das Sparkle Framework, mit dem automatische Updates von Apps automatisch verteilt werden.
Die Sicherheitslücke besteht nun darin, dass für die Verbindung zum Updateserver teilweise über HTTP statt das sicherere HTTPS erfolgt, während gleichzeitig eine Besonderheit von Sparkles WebKit es ermöglicht Javascript auszuführen. Damit sind Angreifer prinzipiell in der Lage sich dazwischen zu schalten und den Datenstrom zu manipulieren und so Schadsoftware zu installieren.
Betroffen sind davon zahlreiche Apps sowohl unter dem derzeit aktuellen El Capitan als auch dem Vorgänger OS X Yosemite. Dazu zählen laut dem Bericht Sequel pro, Camtasia, uTorrent, eine ältere Version vom beliebten Medienplayer VLC und eine große Anzahl weiterer Apps für den Mac. Das eingebettete Video zeigt einen derartigen Angriff auf die App Sequel Pro.
Das könnte dich auch interessieren
Weitere Geschichten aus Technik News.
Apple plant massive Produkt-Offensive für Herbst 2026
Apple bringt in diesem Herbst über 15 neue Geräte auf den Markt — von einem faltbaren iPhone über ein MacBook mit OLED-Display bis hin zu Wearables und Smart-Home-Produkten.
Anthropic Mythos hilft Calif-Team bei macOS-Exploit auf M5-Chip
Das Security-Team Calif hat mit Hilfe von Anthropics KI-Modell Mythos Preview in nur fünf Tagen einen Kernel-Exploit für macOS auf M5-Hardware entwickelt und Apples MIE-Schutz umgangen.
macOS 26.5: Apple veröffentlicht Update für den Mac
Nach iOS 26.5, iPadOS 26.5 und watchOS 26.5 hat Apple heute auch ein Update für den Mac veröffentlicht. Auf kompatiblen Macs kann ab sofort macOS 26.5 Tahoe installiert werden.
Perplexity startet „Personal Computer“ für alle Mac-Nutzer
Die KI-Firma Perplexity bringt ihre neue „Personal Computer“-Funktion für macOS auf den Markt. Damit lassen sich autonome Agenten lokal auf dem Mac ausführen und Aufgaben rund um die Uhr erledigen.
macOS 27: Nur noch Macs mit „Apple Silicon“ M-Prozessor werden unterstützt
Dass das aktuelle macOS das letzte ist, welches Macs mit einem Intel-Chip unterstützt, ist schon länger bekannt. Das neue macOS 27 wird nur noch für Apple-Computer mit einem M-Prozessor ausgerollt.
iOS 26.5 & iPadOS 26.5: Die erste Beta ist da – Das ist neu! (Update #5)
Gestern Abend hat Apple die erste Beta von iOS 26.5 und iPadOS 26.5 veröffentlicht. Wir werfen an dieser Stelle einen Blick auf die neuen Funktionen. (Update: Apple veröffentlicht die vierte Beta!)
Kommentare
Sei der Erste, der hier kommentiert.
Du musst angemeldet sein, um zu kommentieren.