02.02.16: В системе обновлений Sparkle Updater OS X обнаружена уязвимость

OS X

Специалист в области информационной безопасности Радослав Карпович нашёл уязвимость в популярном фреймворке для OS X, применяемом для облегчения процесса обновления приложений. По словам специалиста, во многих случаях в ходе установки и загрузки патчей при помощи Sparkle Updater употребляется HTTP вместо HTTPS.

Как информирует Securitylab, для работы механизма обновлений употребляется сервер AppCast, функционирующий по принципу RSS-ленты: когда выходит новая версия приложения, пользователь Mac приобретает соответствующее уведомление. Информация передается в виде XML-файлов. Существует ручной и непроизвольный режимы проверки. Оказалось, что при автоматическом поиске обновлений приложения довольно часто передают данные по HTTP вместо HTTPS. Неприятность существует из-за неосторожности разработчиков, забывающих верно настроить механизм передачи данных.

На протяжении проверки исследователь распознал множество программ, применяющих HTTP на протяжении автоматической проверки обновлений. Неточность затрагивает Adium, Coda, iTerm, Facebook Origami, Pixelmator, Sequel Pro, Tunnelblick, VLC и другие популярные приложения. Специалист совершил атаку «человек посередине», перехватил запрос сервера AppCast и подменил XML-сообщение вредоносным кодом. Потому, что для обработки файлов XML Sparkle Updater применяет системный компонент WebView, Карповичу удалось удаленно выполнить в OS X произвольный код. Исследователь также смог привести к отказу в работе компьютера и раскрыть содержимое некоторых файлов на протяжении атаки по внешней сущности XML-файла.

Разработчики Sparkle Updater выпустили исправление для фреймворка, ликвидирующее найденные Карповичем уязвимости. Напомним, в последних числах  Января нынешнего года эксперты FireEye предостерегли разработчиков iOS-приложений от применения ПО для динамического обновления JSPatch. Программа разрешает несанкционированно вносить трансформации в код готовых продуктов и может использоваться преступниками.

Все на iApple.by про:


Защитный код Обновить

Копирование и использование материалов яблочного портала Беларуси iapple.by запрещено, без активной ссылки на наш сайт в качестве источника
Изображения, торговые марки и логотипы являются собственностью соответствующих владельцев и компаний