Einführung
Kürzlich berichtete Fluid Attacks über eine lokale Privilegieneskalationsanfälligkeit (CVE-2026-2638) durch verantwortungsvolle Offenlegung, die die X-VPN macOS-Website-Versionen 77.0 bis 77.5 betrifft. Wir haben den Bericht ernst genommen, das Problem intern reproduziert und den Fix in der X-VPN macOS-Website-Version 77.5.1 veröffentlicht. Unsere interne Überprüfung bestätigte, dass das Problem nicht im VPN-Tunnel von X-VPN, im Verschlüsselungsprotokoll, im Kontosystem oder in der Serverinfrastruktur lag und dass keine anderen X-VPN-Plattformen oder -Versionen außerhalb des betroffenen macOS-Website-Bereichs betroffen waren. Es wurden keine Ausnutzungen in der Wildnis beobachtet. Benutzer der betroffenen Versionen sollten so schnell wie möglich ein Update durchführen.
Im Sinne von Transparenz und Rechenschaftspflicht werden wir die Einzelheiten der Schwachstelle, ihren Umfang und die Maßnahmen, die wir ergriffen haben, mitteilen.
Table of Contents
Unsere wichtigsten Erkenntnisse
CVE-2026-2638 ist eine lokale Privilegienerweiterungsschwachstelle, die die X-VPN macOS-Website (die eigenständige macOS-Version, die von xvpn.io heruntergeladen wurde) in den Versionen 77.0-77.5 betrifft. Ein lokales Privilegienerweiterungsproblem bedeutet, dass ein Benutzer oder Prozess mit eingeschränkten Berechtigungen auf demselben Gerät unter bestimmten lokalen Bedingungen Administratorzugriff erlangen könnte. X-VPN hat dieses Problem in der Version 77.5.1 und später der X-VPN macOS-Website behoben.
Die Schwachstelle stammt aus der Download Protection-Funktion der X-VPN macOS-Website-Version (zu finden unter Sicherheit → Browserschutz → Download-Schutz), die heruntergeladene Dateien scannt, solche, die unsicher erscheinen, in Quarantäne stellt und sie auf Anfrage wiederherstellt. Da das Quarantänisieren und Wiederherstellen von Dateien das Schreiben an Orte erfordert, die durch die macOS-Systemberechtigungen geschützt sind, wird ein Teil dieser Funktion mit Administratorrechten ausgeführt.
CVE-2026-2638 war ein Fehler in der Art und Weise, wie dieser Administrator-Level-Teil der Funktion die Dateieigenschaft während der Scan-, Quarantäne- und Wiederherstellungsphasen überprüfte, was es einem böswilligen lokalen Programm ermöglichen könnte, einen privilegierten Vorgang auf eine andere Datei als die vorgesehene umzuleiten. Eine detaillierte Erklärung finden Sie in Was ist CVE-2026-2638.
Dies war kein Fernnetzangriff und hatte keine Auswirkungen auf den VPN-Tunnel, das Verschlüsselungsprotokoll, das Kontosystem oder die Serverinfrastruktur von X-VPN. Die Mac App Store-Version von X-VPN sowie X-VPN für Windows, iOS, Android, Linux, Router, TV, Chrome-Erweiterung, Chromebook und Spielkonsolen waren nicht betroffen.
Benutzer, die die X-VPN macOS-Website-Versionen 77.0-77.5 verwenden, sollten jetzt auf Version 77.5.1 oder höher aktualisieren.
Die wichtigsten Fakten sind unten zusammengefasst:
Artikel | Offizielle Erklärung |
|---|---|
CVE-ID | CVE-2026-2638 |
Status | Festgelegt |
Betroffene Versionen | X-VPN macOS Website-Version 77.0–77.5 |
Festgelegte Version | X-VPN macOS Website-Version 77.5.1 und später |
Nicht betroffene Version | X-VPN Mac App Store Version/ Windows/ iOS/ Android/ Linux/ Router/ TV/ Chrome-Erweiterung/ Chromebook/ Spielkonsolen |
Schwachstellungsart | Lokale Privilegieneskalation |
Schweregrad | CVSS v4.0 Punktzahl 7.3, Hoch |
Ausbeutungsstatus | Basierend auf den derzeit verfügbaren Daten sind uns keine Ausnutzungen dieses Problems in der Wildnis bekannt; es wurden keine entsprechenden Benutzerberichte erhalten. |
Benutzeraktion | Aktualisieren Sie die X-VPN macOS-Website-Version auf Version 77.5.1 und höher. |
Was ist CVE-2026-2638?
Um zu erklären, wie CVE-2026-2638 ausgenutzt werden könnte, ist es hilfreich, zunächst zu betrachten, wie der Download-Schutz normalerweise funktioniert.
Die Download-Schutzfunktion der X-VPN macOS-Webversion folgt einem dreistufigen Prozess: Sie scannt neue heruntergeladene Dateien, quarantänisiert Dateien, die verdächtig erscheinen, und stellt sie wieder her, wenn eine Wiederherstellungsaktion angefordert wird. Um zu identifizieren, an welcher Datei sie in jeder Phase arbeitet, verfolgt die Funktion die Datei anhand ihres Standorts auf dem Mac: ihrem Dateipfad. Die Schwachstelle resultierte daraus, dass die Funktion allein dem Dateipfad vertraute, um in allen drei Phasen auf dieselbe Datei zu verweisen, ohne den tatsächlichen Inhalt der Datei unabhängig erneut zu überprüfen.
Bei normaler Verwendung ist das eine faire Annahme, Dateipfade ändern sich normalerweise nicht zwischen den Operationen. Aber unter zwei spezifischen Bedingungen könnte diese Annahme ausgenutzt werden:
1
2
Die erste Bedingung wirft eine natürliche Frage auf: Woher würde ein solches bösartiges Programm überhaupt kommen? Dies ist es wert, kurz angesprochen zu werden, da die Antwort auch zeigt, wofür CVE-2026-2638 selbst verantwortlich ist und wofür nicht.
Woher das bösartige Programm kommt
Ein bösartiges Programm könnte auf einem Gerät durch eine der üblichen Methoden landen, zum Beispiel durch das Öffnen einer Phishing-E-Mail, das Herunterladen und Ausführen von Software aus einer nicht vertrauenswürdigen Quelle oder das Installieren einer kompromittierten Drittanbieteranwendung. Diese anfänglichen Infektionswege sind unabhängig von CVE-2026-2638 selbst.
Unter macOS werden Programme normalerweise mit den Berechtigungen des Benutzers ausgeführt, der sie gestartet hat. Ein bösartiges Programm, das über diese Kanäle installiert wurde, würde daher nur mit den Berechtigungen eines regulären Benutzers gestartet, es könnte von sich aus geschützte Systemstandorte nicht ändern oder Aktionen auf Administrator-Ebene durchführen. Der Zugriff auf Administrator-Ebene erfordert in der Regel, dass der Benutzer dies ausdrücklich autorisiert (zum Beispiel durch eine Passwortaufforderung). Deshalb sind lokale Privilegieneskalationsanfälligkeiten wichtig: Sie bieten Angreifern einen Weg, diese Barriere zu umgehen.
Die zwei Lücken, die den Angriff möglich machten
Lücke 1: Die Zeitlücke (CWE-367: Zeit-der-Prüfung Zeit-der-Nutzung Wettlaufbedingung)
- Der Download-Schutz überprüft eine Datei in einem Stadium und handelt zu einem späteren Zeitpunkt. Es gibt einen kurzen Moment zwischen diesen beiden Ereignissen. In diesem Moment könnte ein bösartiges Programm, das nur die Datei-Bearbeitungsberechtigungen nutzt, die jeder Benutzer bereits hat, die ursprüngliche Datei gegen eine andere austauschen. Der Download-Schutz würde dann seinen privilegierten Schritt auf der ausgetauschten Datei ausführen, nicht auf der Datei, die er überprüft hatte.
Lücke 2: Die symbolische Link-Lücke (CWE-59: Unzureichende Linkauflösung vor dem Dateizugriff)
- macOS ermöglicht es Benutzern, eine Art Verknüpfung zu einer anderen Datei zu erstellen, einen „symbolischen Link“. Er sieht aus und verhält sich wie eine normale Datei, aber wenn ein Programm ihn öffnet, leitet das System automatisch zu dem weiter, auf was die Verknüpfung zeigt.
Die Schwachstelle bestand darin, dass der Download-Schutz nicht überprüfte, ob die Datei, die er zu verarbeiten beabsichtigte, tatsächlich eine Verknüpfung zu einem anderen Ort war. Ein bösartiges Programm konnte eine solche Verknüpfung an einem Ort platzieren, an dem der Download-Schutz tätig werden wollte, und sie auf eine wichtige Datei an einem anderen Ort im System verweisen lassen. Der Download-Schutz, der mit Administratorrechten ausgeführt wird, würde dann unwissentlich seine Operation auf dieser Datei durchführen, obwohl diese Datei nie berührt werden sollte.
Warum dies zu einer Privilegieneskalation führte
In beiden Fällen erhielt das bösartige Programm selbst keine neuen Berechtigungen. Was es tat, war, eine legitime privilegierte Operation, die von Download Protection durchgeführt wurde, auf eine Datei umzuleiten, die das bösartige Programm sonst nicht hätte ändern können. Indem es Download Protection dazu brachte, in einem systemgeschützten Bereich in seinem Namen zu schreiben, konnte das bösartige Programm indirekt Änderungen verursachen, die normalerweise nur von Prozessen auf Administratorlevel vorgenommen werden dürfen.
Das ist es, was CVE-2026-2638 zu einer lokalen Privilegieneskalation gemacht hat: nicht durch den Diebstahl von Administratorzugriff, sondern indem man eine legitime Administratoroperation dazu bringt, etwas zu tun, wozu sie nie gedacht war.
In der Praxis bedeutet dies, dass das bösartige Programm Änderungen am systemweiten Verhalten des Geräts vornehmen könnte, die eine Administratorautorisierung erfordern sollten.
Was CVE-2026-2638 nicht ist
- Kein Verstoß gegen X-VPN-Server
- Keine Schwachstelle im VPN-Tunnel, im Verschlüsselungsprotokoll, im Kontosystem oder in der Serverinfrastruktur.
- Kein Fernangriff, es erfordert lokalen Zugriff mit niedrigen Berechtigungen auf das Gerät.
- Nicht anwendbar auf andere Plattformen oder die App Store-Version
Wie wir es behoben haben
X-VPN macOS Website-Version 77.5.1 stärkt den Download-Schutz und den Wiederherstellungsworkflow für Dateien. Die wichtigsten Verbesserungen umfassen:
1. Überprüfungen der Konsistenz der Dateiidentität
Wenn eine heruntergeladene Datei von der Schutzschicht gescannt wird, wird der Fingerabdruck des Inhalts der Datei jetzt aufgezeichnet. Wenn die Datei später in Quarantäne gestellt werden muss, überprüft X-VPN erneut, ob der aktuelle Inhalt der Datei noch mit dem übereinstimmt, was gescannt wurde.
Wenn die Datei nach dem Scannen ersetzt, geändert oder anderweitig verändert wurde, wird der Quarantäneprozess abgelehnt.
2. Quarantäne-Integritätsvalidierung
Nachdem eine Datei in Quarantäne geht, werden Integritätsinformationen über ihren Quarantänezustand aufgezeichnet. Bevor ein Benutzer die Datei wiederherstellt, überprüft X-VPN erneut, ob sich die quarantänisierte Datei noch in ihrem aufgezeichneten Quarantänezustand befindet.
Wenn die quarantänisierte Datei ersetzt oder geändert wurde, wird der Wiederherstellungsprozess blockiert.
3. Symbolische Links werden in kritischen Operationen nicht akzeptiert.
Der Download-Schutz-Workflow weigert sich jetzt, symbolische Linkdateien zu scannen oder wiederherzustellen. Dies verhindert, dass Angreifer Quarantäne- oder Wiederherstellungsoperationen durch Pfadmanipulation auf unbeabsichtigte Dateien umleiten.
Insgesamt verlässt sich dieser Fix nicht mehr nur auf Dateipfade, um die bearbeitete Datei zu identifizieren. Stattdessen verwendet X-VPN jetzt mehrstufige Inhaltsintegritätsprüfungen, um zu überprüfen, ob Dateien während der Scan-, Quarantäne- und Wiederherstellungsphasen nicht ersetzt oder modifiziert wurden. Es blockiert auch die Umleitung von symbolischen Links, die sonst dazu führen könnte, dass privilegierte Wiederherstellungsoperationen auf unbeabsichtigte Dateistandorte angewendet werden.
Das Verständnis der Schwere
CVE-2026-2638 wurde mit einem CVSS v4.0 Basiswert von 7.3 (Hoch) bewertet, mit dem Vektor-String:
CVSS:4.0/AV:L/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CVSS (Common Vulnerability Scoring System) ist der branchenübliche Rahmen zur Bewertung der Schwere von Sicherheitsanfälligkeiten. Laut FIRST, der Organisation, die den CVSS-Standard pflegt, misst CVSS wie schwerwiegend eine Anfälligkeit sein könnte, wenn sie erfolgreich ausgenutzt wird, nicht wie wahrscheinlich diese Ausnutzung in der Praxis tatsächlich ist. Eine „Hohe“ Bewertung spiegelt daher wider, wie viel Schaden die Anfälligkeit bei erfolgreicher Ausnutzung verursachen könnte, nicht eine Vorhersage, wie wahrscheinlich es ist, dass sie gegen echte Benutzer ausgenutzt wird.
Der obige Vektorstring zerlegt die Punktzahl in mehrere Dimensionen, wie zum Beispiel, wo der Angriff ausgehen muss, welche Bedingungen erfüllt sein müssen, um ihn auszunutzen, und wie schwerwiegend ein erfolgreicher Angriff das System beeinträchtigen könnte.
In der Praxis erklären zwei Attribute des Vektors, warum die Ausnutzung von CVE-2026-2638 alles andere als einfach ist:
- AV:L (Angriffsvektor: Lokal). Die Ausnutzung erfordert lokalen Zugriff auf das Gerät. Die Schwachstelle kann nicht aus der Ferne über das Internet ausgelöst werden.
- AT:P (Angriffsanforderungen: Vorhanden). Es müssen spezifische Bedingungen erfüllt sein, damit der Angriff erfolgreich ist, einschließlich der Fähigkeit, mit dem betroffenen Wiederherstellungsworkflow für den Downloadschutz zu interagieren und die Dateiverarbeitung innerhalb eines engen Zeitfensters zu manipulieren.
Daher sollte CVE-2026-2638 ernst genommen werden, und Benutzer der betroffenen macOS-Webseitenversionen sollten auf die X-VPN macOS-Webseitenversion 77.5.1 oder höher aktualisieren. Da jedoch für die Ausnutzung lokaler Zugriff und spezifische Bedingungen erforderlich sind, stellt es für X-VPN-Benutzer kein unmittelbares, großflächiges Risiko aus der Ferne dar.
Betroffener Umfang
Die folgende Tabelle fasst zusammen, welche X-VPN-Versionen von CVE-2026-2638 betroffen sind:
Plattformen & Version | Betroffen? |
|---|---|
X-VPN macOS-Website Versionen 77.0 bis 77.5 (die eigenständige macOS-Version, die von xvpn.io heruntergeladen wurde) | ⚠️ Betroffen — bitte sofort aktualisieren |
X-VPN macOS-Website, Version 77.5.1 und später | ✅ Nicht betroffen (enthält die Lösung) |
X-VPN Mac App Store-Version | ✅ Nicht betroffen |
X-VPN für Windows / Linux / iOS / Android / TV / Router / Chromebook / Spielkonsolen / Chrome-Erweiterung | ✅ Nicht betroffen |
Empfehlungen für Benutzer
Aktualisieren Sie sofort auf die neueste Version.
Um Ihre aktuelle Version zu überprüfen:
- Öffnen Sie die X-VPN-App auf Ihrem MacBook.
- Klicken Sie auf Einstellungen in der unteren linken Ecke.
- Klicken Sie auf Über X-VPN.
- Ihre aktuelle Version wird unter „X-VPN für Mac“ angezeigt.
Wenn Ihre Version zwischen 77.0 und 77.5 liegt, aktualisieren Sie, indem Sie die neueste Version von unserer Mac-Download-Seite herunterladen.
Nächste Schritte & Kontakt
X-VPN bleibt über dieses spezifische Problem hinaus der Sicherheit der Benutzer verpflichtet. Im Rahmen unserer fortlaufenden Sicherheitspraktiken.
- Kontinuierliche Code-Audits und Schwachstellenscans: Wir überprüfen regelmäßig unseren Code und führen Sicherheitsprüfungen durch, um potenzielle Probleme zu identifizieren und zu beheben, bevor sie die Benutzer erreichen.
- Bug Bounty Programm: Wir begrüßen Sicherheitsforscher, die verantwortungsvolle Schwachstellenberichte über unser Bug Bounty Programm einreichen. Gültige und reproduzierbare Ergebnisse sind für monetäre Belohnungen berechtigt, die uns helfen, die Sicherheit jedes X-VPN-Clients zu stärken.
- Direkter Berichtsweg: Wenn Sie ein Sicherheitsproblem entdecken oder ungewöhnliches Verhalten in X-VPN vermuten, senden Sie bitte eine E-Mail an security@xvpn.io. Alle Berichte werden von unserem Sicherheitsteam überprüft.
Wir danken Fluid Attacks für die verantwortungsvolle Offenlegung von CVE-2026-2638 und für die Zusammenarbeit mit uns im Rahmen des koordinierten Offenlegungsprozesses.
Häufig gestellte Fragen
Wurde diese Sicherheitsanfälligkeit behoben?
Ja. Die Sicherheitsanfälligkeit wurde in X-VPN für macOS in der Version 77.5.1 vollständig behoben. Benutzer der Versionen 77.0–77.5 sollten sofort aktualisieren.
Bin ich in Gefahr, wenn ich X-VPN benutze?
Nur macOS-Benutzer von direkt heruntergeladenen Versionen 77.0 bis 77.5 sind betroffen. Wenn Sie Version 77.5.1 oder höher, die App Store-Version oder eine andere Plattform (Windows, iOS, Android, Linux usw.) verwenden, sind Sie nicht betroffen.
Ist der Download-Schutz standardmäßig in der X-VPN macOS-Webversion aktiviert?
Nein. Der Download-Schutz ist standardmäßig auf der X-VPN macOS-Website-Version deaktiviert und muss manuell aktiviert werden.
Da der anfällige Workflow nur ausgeführt wird, wenn der Download-Schutz aktiv ist, waren nur Benutzer, die diese Funktion auf einer betroffenen macOS-Website-Version (77.0 bis 77.5) ausdrücklich aktiviert hatten, dem CVE-2026-2638 ausgesetzt. Benutzer, die den Download-Schutz nie aktiviert hatten, waren nicht dem anfälligen Code-Pfad ausgesetzt.
Beeinflusst dies meine VPN-Verschlüsselung oder meine Daten?
Nein. Die Schwachstelle ist ein lokales Privilegienausweitungproblem auf dem Gerät des Benutzers. Sie befindet sich nicht im VPN-Tunnel von X-VPN, im Verschlüsselungsprotokoll, im Kontosystem oder in der Serverinfrastruktur.
Wurde tatsächlich jemand mit dieser Schwachstelle angegriffen?
Wir haben keine Berichte über die Ausnutzung dieser Schwachstelle in der Wildnis beobachtet. Sie wurde von Fluid Attacks durch einen verantwortungsvollen Offenlegungsprozess entdeckt und gemeldet, was es uns ermöglichte, sie zu beheben, bevor eine bekannte Ausnutzung stattfand.
Kann der Angriff remote über das Internet erfolgen?
Nein. Um diese Schwachstelle auszunutzen, muss der Angreifer bereits lokalen, niedrig privilegierten Zugriff auf das MacBook des Benutzers haben. Sie kann nicht aus der Ferne über das Netzwerk oder durch eine bösartige Website ausgelöst werden.
Wo kann ich Sicherheitsprobleme an X-VPN melden?
Bitte senden Sie eine E-Mail an security@xvpn.io oder reichen Sie über unser Bug Bounty Program ein. Wir begrüßen und belohnen verantwortungsvolle Sicherheitsmeldungen.
