Kritische Lücke in Mac-Version von Evernote

Nutzer von Evernote auf dem Mac sollten prüfen, ob sie die aktuelle Version der Anwendung im Einsatz haben. Ein Programmierfehler sorgte bis vor kurzem dafür, dass Angreifer über das Notiz-Werkzeug potenziell beliebigen Code ausführen konnten. Das hat der Sicherheitsforscher Dhiraj Mishra herausgefunden, wie er in seinem Blog schreibt.

Mishra hatte das Problem bereits im März entdeckt und an Evernote gemeldet. Dort hat man mittlerweile einen Fix parat und diesen in die aktuelle macOS-Version der Anwendung eingebaut. Um den Fehler auszunutzen, musste ein Angreifer einen Nutzer dazu bringen, einen Link zu klicken, etwa bei der Übernahme einer Webseite in Evernote. Der Klick führte dann dazu, dass sich eine beliebige Anwendung auf dem Rechner ausführen ließ – oder auch eine vorhandene Datei in der dazu passenden App. So hätte ein Angreifer beispielsweise Code nachladen oder Teile der Festplatte löschen können.

Quelle: Kritische Lücke in Mac-Version von Evernote | heise online