Популярный фреймворк Sparkle Updater для OS X имеет серьёзную уязвимость
Специалисты по исследованию безопасности обнаружили в популярном фреймворке Sparkle Updater, используемом пользователями OS X для обновления приложений, серьёзную уязвимость, которой могут воспользоваться злоумышленники для заражения компьютеров. Sparkle Updater использует сервер AppCast, который работает по принципу RSS-ленты. Как только появляется новая версия установленного на компьютере приложения, пользователь получает уведомление. Суть уязвимости заключается в том, что многие приложения обновляются по незащищённому каналу HTTP вместо HTTPS.
В Sparkle Updater есть ручной и автоматический режим проверки обновлений. После получения уведомления на компьютер пользователя передаётся информация в виде XML-файла. Если это происходит через HTTP-канал, то злоумышленники могут перехватить XML-файл в момент его передачи с сервера на компьютер и подменить его вредоносным кодом.
Сообщается, что от рук хакеров пострадало уже множество популярных приложений, среди которых Camtasia, Duet Display, uTorrent, Sketch, VLC, Adium, Coda, iTerm, Facebook Origami, Pixelmator, Sequel Pro, Tunnelblick и многие другие. Для VLC, например, недавно вышел патч, исправляющий эту проблему.
Разработчики уже выпустили обновление для Sparkle Updater, которое исправляет уязвимость, но должно пройти некоторое время, пока для всех приложений выйдут патчи. Также напомним, что для установки и обновления программ рекомендуется использовать только официальный магазин Mac App Store.
Источник: macrumors.com
© 4PDA