1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Sparkle-Installer: Gatekeeper…

Nicht wirklich ein Sparkle Problem

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Nicht wirklich ein Sparkle Problem

    Autor: /mecki78 11.02.16 - 14:34

    Hier wird ein Bug in WebKit zusammen mit mehreren Bugs in OS X ausgenutzt um eine Datei von einem Remote Server zu laden und ohne Gatekeeper Prüfung zu starten. Sparkle hat mit dem allen gar nichts zu tun.

    Alles was Sparkle macht ist eine lokale Webseite in einem WebKit View anzuzeigen. Aber genau das Gleiche könnte ich mit jeder anderen App machen, die einen lokale Webseite in einem WebKit View anzeigt, sofern ich nur den Inhalt dieser Webseite manipulieren kann. Die Seite, die über den Sparkle Bug berichtet, bezieht sich ja auf einen anderen Bug (den eigentlich Bug hier, siehe oben) und dieser wiederum wurde Ursprünglich mit einer ganz anderen App gefunden, die eben auch so etwas macht: ungesichert Daten aus dem Netz laden und dieses Daten dann später in der App mit WebKit anzeigen, was aber für WebKit bedeutet, dass das eine "lokale" Seite ist, weil WebKit weiß nichts davon, dass die Daten von einem Internetserver stammen und daher darf JavaScript hier auch auf lokale Dateien zugreifen, und das ist eines der Probleme.

    Sparkle ist hier nur insofern interessant, weil es sehr viele Apps nutzen und es daher auf sehr vielen Mac installiert ist, im Gegensatz zu anderen Apps, mit denen der gleiche Angriff auch möglich wäre. Aber die Überschrift tut halt so, als wäre das jetzt speziell ein Sparkle Problem. Ist gefährlich, weil die Sparkle Macher haben das Problem behoben, aber es gibt da draußen noch ein paar hundert weitere Apps, die genau das gleiche Problem haben und bis jetzt nicht einmal wissen, dass sie es haben!

    /Mecki

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Technical Product Owner (m/w/d)
    unimed Abrechnungsservice für Kliniken und Chefärzte GmbH, deutschlandweit (Home-Office)
  2. Junior Projektmanager (m/w/d)
    ADLATUS GmbH & Co. KG, Wentorf bei Hamburg
  3. Automation Expert (d/m/w)
    OSRAM Opto Semiconductors Gesellschaft mit beschränkter Haftung, Regensburg
  4. IT Administrator (m/w / divers) - System Engineer Informationstechnologie
    Continental AG, Hannover

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 499,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de