Falla in Sparkle Updater, a rischio la sicurezza di molte app per Mac

Falla in Sparkle Updater, a rischio la sicurezza di molte app per Mac

Un framework usato per gli aggiornamenti automatici delle app distribuite al di fuori di Mac App Store presenta una falla che mette il sistema a rischio di attacchi man-in-the-middle

di pubblicata il , alle 10:41 nel canale Apple
Mac OS XApple
 

Utenti Mac a rischio di attacchi man-in-the-middle (all'interno di una stessa rete) a causa di una vulnerabilità presente nel framework Sparkle che viene utilizzato da alcune app per Mac per la gestione degli aggiornamenti automatici. La falla di sicurezza è stata scoperta qualche settimana fa da un ingegnere di sicurezza conosciuto come Radek.

Sparkle Updater è uno strumento che viene utilizzato dagli sviluppatori delle app distribuite al di fuori di Mac App Store per gestire gli aggiornamenti automatici. Le applicazioni che fanno uso della versione vulnerabile di Sparkle Updater e utilizzano connessioni HTTP non criptate per effettuare gli aggiornamenti, sono a rischio di compromissione e di tramissione di codice dannoso all'utente.

Un attacco proof-of-concept è stato illustrato da Simone Margaritelli, che ha usato una vecchia versione di VLC, la quale è stata aggiornata di recente per riparare la falla. Le vulnerabilità sono state testate su Yosemite e sulla più recente versione di El Capitan.

Tra le app che fanno uso di Sparkle ve ne sono alcune piuttosto famose tra cui Camtasia, VLC, Adium, uTorrent e Sketch. In generale sembra essere piuttosto ampio il numero di applicazioni potenzialmente vulnerabili: su GitHub è possibile trovare una lista di app che fa uso di Sparkle, anche se è bene osservare che non tutte usano la versione vulnerabile del framework e non tutte comunicano tramite canali HTTP non sicuri.

Le app scaricate da Mac App Store non sono toccate dal problema, dal momento che i sistemi di aggiornamento software integrati in OS X non fanno uso di Sparkle Updater. Sparkle intanto ha rilasciato una versione aggiornata del framework che risolve il problema, anche se sarà necessario qualche tempo perché gli sviluppatori vadano ad implementare l'aggiornamento. Come misura precauzionale si consiglia, per coloro i quali fanno uso di app potenzialmente vulnerabili, di evitare di usare reti WiFi non sicure o, in mancanza di alternative, usare una VPN.

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^