[SICHERHEIT] Auto-Updater mit Sicherheitsproblemen
Kein Tag vergeht, an dem wir nicht einen neuen sicherheitsrelevanten Artikel bezüglich der Sicherheit auf Mac OS X-Systemen schreiben. Leider. Denn auch diesmal ist es wieder eine heimtückische Geschichte, die wie beim kürzlichen Fake-Update von Flash tatsächlich keinerlei Bezug zu OS X hat, sondern an Drittanbietersoftware liegt.
Diesmal liegt es an Auto-Updates, die oft über die Software Sparkle erledigt werden. Zahlreiche Programme, die nicht über den Mac-App-Store verfügbar sind, setzen Sparkle ein. Diese meldet beim Start einer Software, ob eine neue Version verfügbar ist und kümmert sich um das Update. Ist diese Verbindung aber nicht gesichert, so kann man hier einfach Fremdsoftware unerschieben, die der Nutzer freiwillig installiert.
Betroffen sind unter anderem:
- VLC,
- uTorrent in der Version 1.8.7,
- Sketch 3.5.1,
- Camtasia 2 in V. 2.10.4
- Duetdisplay 1.5.2.4
- ...
VLC hat mittlerweile ein Update veröffentlicht.
(via)