Kritische Lücke in Mac-Version von Evernote

Nutzer von Evernote auf dem Mac sollten prüfen, ob sie die aktuelle Version der Anwendung im Einsatz haben. Ein Programmierfehler sorgte bis vor kurzem dafür, dass Angreifer über das Notiz-Werkzeug potenziell beliebigen Code ausführen konnten. Das hat der Sicherheitsforscher Dhiraj Mishra herausgefunden, wie er in seinem Blog schreibt.

Klick auf Link führt ohne Warnung Programme aus

Mishra hatte das Problem bereits im März entdeckt und an Evernote gemeldet. Dort hat man mittlerweile einen Fix parat und diesen in die aktuelle macOS-Version der Anwendung eingebaut. Um den Fehler auszunutzen, musste ein Angreifer einen Nutzer dazu bringen, einen Link zu klicken, etwa bei der Übernahme einer Webseite in Evernote. Der Klick führte dann dazu, dass sich eine beliebige Anwendung auf dem Rechner ausführen ließ – oder auch eine vorhandene Datei in der dazu passenden App. So hätte ein Angreifer beispielsweise Code nachladen oder Teile der Festplatte löschen können.

Mit dem nun integrierten Fix warnt Evernote Nutzer, bevor sie möglichen Code (oder ein Programm) über einen Link ausführen. Dies geschah zuvor ohne jegliche Warnung. Das Problem ist ein sogenannter Local-File-Path-Traversal-Bug. Dabei wird eine URI des Typs "file:///" verwendet, mit der man dann in ein beliebiges Verzeichnis (z.B. "../../../../something.app") gelangte. Der Patch wurde in Evernote 7.10 Beta 1 und 7.9.1 GA für macOS eingebaut; Evernote führt Details zum Fix hier aus.

Local-File-Path-Traversal-Bugs sind kein neues Problem

Evernote ist nicht die einzige Anwendung, die einen solchen Fehler enthielt. Kürzlich steckte ein ähnlicher Bug in der Windows-Version des Spieleclients Origin von EA. Unter iOS war es mit einem Fehler dieser Kategorie im Rahmen der Kurzbefehle-Anwendung sogar möglich, einen Jailbreak durchzuführen, solange eine ältere Betriebssystemversion verwendet wird. Apple hat diesen Bug, mit dem sich auch Daten abgreifen ließen, mittlerweile behoben. (bsc)