Es wird empfohlen, dass Mac-Nutzer von Evernote überprüfen, ob sie die aktuellste Version der Anwendung verwenden. Ein Programmierfehler ermöglichte es Hackern bis vor kurzem, über das Notiz-Tool beliebigen Code auszuführen. Diese gravierende Schwachstelle wurde von dem Sicherheitsforscher Dhiraj Mishra entdeckt und in seinem Blog veröffentlicht.
Klick auf Link führt ohne Warnung Programme aus
Mishra hatte das Problem bereits im März entdeckt und an Evernote gemeldet. Dort hat man mittlerweile einen Fix parat und diesen in die aktuelle macOS-Version der Anwendung eingebaut. Um den Fehler auszunutzen, musste ein Angreifer einen Nutzer dazu bringen, einen Link zu klicken, etwa bei der Übernahme einer Webseite in Evernote. Der Klick führte dann dazu, dass sich eine beliebige Anwendung auf dem Rechner ausführen ließ ? oder ebenfalls eine vorhandene Datei in der dazu passenden App. So hätte ein Angreifer beispielsweise Code nachladen oder Teile der Festplatte löschen können.
Mit dem nun integrierten Fix warnt Evernote Nutzer, bevor sie möglichen Code (oder ein Programm) über einen Link ausführen. Dies geschah zuvor ohne jegliche Warnung. Das Problem ist ein sogenannter Local-File-Path-Traversal-Bug. Dabei wird eine URI des Typs "file:///" verwendet, mit der man dann in ein beliebiges Verzeichnis (z.B. "../../something.app") gelangte. Der Patch wurde in Evernote 7․10 Beta 1 und 7․9․1 GA für macOS eingebaut; Evernote führt Details zum Fix hier aus.
Local-File-Path-Traversal-Bugs sind kein neues Problem
Evernote ist nicht die einzige Anwendung die welche solchen Fehler enthielt. Kürzlich steckte ein ähnlicher Bug in der Windows-Version des Spieleclients Origin von EA. Unter iOS war es mit einem Fehler dieser Kategorie im Rahmen der Kurzbefehle-Anwendung sogar möglich einen Jailbreak durchzuführen solange eine ältere Betriebssystemversion verwendet wird. Apple hat diesen Bug, mit dem sich auch Daten abgreifen ließen, mittlerweile behoben.
Kommentare