1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sparkle-Installer: Gatekeeper…

Nicht wirklich ein Sparkle Problem

  1. Thema

Neues Thema Ansicht wechseln


  1. Nicht wirklich ein Sparkle Problem

    Autor: /mecki78 11.02.16 - 14:34

    Hier wird ein Bug in WebKit zusammen mit mehreren Bugs in OS X ausgenutzt um eine Datei von einem Remote Server zu laden und ohne Gatekeeper Prüfung zu starten. Sparkle hat mit dem allen gar nichts zu tun.

    Alles was Sparkle macht ist eine lokale Webseite in einem WebKit View anzuzeigen. Aber genau das Gleiche könnte ich mit jeder anderen App machen, die einen lokale Webseite in einem WebKit View anzeigt, sofern ich nur den Inhalt dieser Webseite manipulieren kann. Die Seite, die über den Sparkle Bug berichtet, bezieht sich ja auf einen anderen Bug (den eigentlich Bug hier, siehe oben) und dieser wiederum wurde Ursprünglich mit einer ganz anderen App gefunden, die eben auch so etwas macht: ungesichert Daten aus dem Netz laden und dieses Daten dann später in der App mit WebKit anzeigen, was aber für WebKit bedeutet, dass das eine "lokale" Seite ist, weil WebKit weiß nichts davon, dass die Daten von einem Internetserver stammen und daher darf JavaScript hier auch auf lokale Dateien zugreifen, und das ist eines der Probleme.

    Sparkle ist hier nur insofern interessant, weil es sehr viele Apps nutzen und es daher auf sehr vielen Mac installiert ist, im Gegensatz zu anderen Apps, mit denen der gleiche Angriff auch möglich wäre. Aber die Überschrift tut halt so, als wäre das jetzt speziell ein Sparkle Problem. Ist gefährlich, weil die Sparkle Macher haben das Problem behoben, aber es gibt da draußen noch ein paar hundert weitere Apps, die genau das gleiche Problem haben und bis jetzt nicht einmal wissen, dass sie es haben!

    /Mecki

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. ALTE LEIPZIGER Lebensversicherung a. G, Oberursel
  2. VSE Verteilnetz GmbH, Saarbrücken
  3. KWS SAAT SE & Co. KGaA, Einbeck
  4. ESG Elektroniksystem- und Logistik-GmbH, Fürstenfeldbruck

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 2.399€ (inkl. 400€ Cashback - Bestpreis!)
  2. (nur ein Gutschein pro teilnahmeberechtigtem Kunde)
  3. 29,99€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mobilfunk: UMTS-Versteigerungstaktik wird mit Nobelpreis ausgezeichnet
Mobilfunk
UMTS-Versteigerungstaktik wird mit Nobelpreis ausgezeichnet

Sie haben Deutschland zum Mobilfunk-Entwicklungsland gemacht und wurden heute mit dem Nobelpreis ausgezeichnet: die Auktionstheorien von Paul R. Milgrom und Robert B. Wilson.
Ein IMHO von Frank Wunderlich-Pfeiffer

  1. Coronakrise Deutsche Urlaubsregionen verzeichnen starke Mobilfunknutzung
  2. LTE Telekom benennt weitere Gewinner von "Wir jagen Funklöcher"
  3. Mobilfunk Rufnummernportierung darf maximal 7 Euro kosten

Differential Privacy: Es bleibt undurchsichtig
Differential Privacy
Es bleibt undurchsichtig

Mit Differential Privacy soll die Privatsphäre von Menschen geschützt werden, obwohl jede Menge persönlicher Daten verarbeitet werden. Häufig sagen Unternehmen aber nicht, wie genau sie das machen.
Von Anna Biselli

  1. Strafverfolgung Google rückt IP-Adressen von Suchanfragen heraus
  2. Datenschutz Millionenbußgeld gegen H&M wegen Ausspähung in Callcenter
  3. Personenkennziffer Bundestagsgutachten zweifelt an Verfassungsmäßigkeit

Apple: iPhone 12 bekommt Magnetrücken und kleinen Bruder
Apple
iPhone 12 bekommt Magnetrücken und kleinen Bruder

Das iPhone 12 ist mit einem 6,1-Zoll- und das iPhone 12 Mini mit einem 5,4-Zoll-Display ausgerüstet. Ladegerät und Kopfhörer fallen aus Gründen des Umweltschutzes weg.

  1. Apple iPhone 12 Pro und iPhone 12 Pro Max werden größer
  2. Apple iPhone 12 verspätet sich
  3. Back Tap iOS 14 erkennt Trommeln auf der iPhone-Rückseite