Secondo un recente rapporto di Ars Technica riguardante una falla di sicurezza scoperta da un ricercatore a fine Gennaio, diverse vulnerabilità nel framework che alcune applicazioni per Mac usano per ricevere aggiornamenti automatici lascerebbero porte aperte ad attacchi.
Le applicazioni che utilizzano una versione vulnerabile di Sparkle e un canale HTTP non crittografato per gli aggiornamenti dei server potrebbero potenzialmente essere sfruttate per trasmettere codici dannosi agli utenti finali. Il framework Sparkle viene utilizzato da applicazioni esterne al Mac App Store per facilitare l’aggiornamento automatico di software.
Alcune delle applicazioni interessate sono molto note, come Camtasia, Duet Display, uTorrent e Sketch. Una prova dei potenziali attacchi è stata condivisa da Simone Margaritelli usando una vecchia versione di VLC recentemente aggiornata per correggere il problema. Le vulnerabilità sono state testate sia su OS X Yosemite che su OS X El Capitan.
Sparkle ha rilasciato un fix nell’ultima versione di Sparkle Updater, ma ci vorrà comunque del tempo prima che la patch venga applicata a tutte le applicazioni.
Via | MacRumors
Leggi o Aggiungi Commenti