ПЗПодії

В системе обновлений OS X обнаружена уязвимость

2

Эксперт в области информационной безопасности Радослав Карпович обнаружил уязвимость в популярном фреймворке для OS X, используемом для облегчения процесса обновления приложений. По словам эксперта, во многих случаях в процессе загрузки и установки патчей посредством Sparkle Updater используется HTTP вместо HTTPS.
check-3
Как сообщает Securitylab, для работы механизма обновлений используется сервер AppCast, функционирующий по принципу RSS-ленты: как только выходит новая версия версия приложения, пользователь Mac получает соответствующее уведомление. Информация передается в виде XML-файлов. Существует ручной и автоматический режимы проверки.

Оказалось, что при автоматическом поиске обновлений приложения часто передают информацию по HTTP вместо HTTPS. Проблема существует из-за неосторожности разработчиков, забывающих правильно настроить механизм передачи данных.
check-2
В ходе проверки исследователь выявил целый ряд программ, использующих HTTP в ходе автоматической проверки обновлений. Ошибка затрагивает Adium, Coda, iTerm, Facebook Origami, Pixelmator, Sequel Pro, Tunnelblick, VLC и прочие популярные приложения.

Эксперт провел атаку «человек посередине», перехватил запрос сервера AppCast и подменил XML-сообщение вредоносным кодом. Поскольку для обработки файлов XML Sparkle Updater использует системный компонент WebView, Карповичу удалось удаленно выполнить в OS X произвольный код. Исследователь также смог вызвать отказ в работе компьютера и раскрыть содержимое некоторых файлов в ходе атаки по внешней сущности XML-файла.
check-1
Разработчики Sparkle Updater выпустили исправление для фреймворка, устраняющее обнаруженные Карповичем уязвимости. Напомним, в конце января нынешнего года специалисты FireEye предостерегли разработчиков iOS-приложений от использования ПО для динамического обновления JSPatch. Программа позволяет несанкционированно вносить изменения в код готовых продуктов и может применяться злоумышленниками.

Взято с macdigger.ru

Читайте також -  Windows 11 отримує більше можливостей для спільного використання файлів

2 Comments

  1. … [Trackback]

    […] Read More here on that Topic: portaltele.com.ua/news/events/v-sisteme-obnovleniy-os-x-obnaruzhena-uyaz.html […]

  2. … [Trackback]

    […] Read More here on that Topic: portaltele.com.ua/news/events/v-sisteme-obnovleniy-os-x-obnaruzhena-uyaz.html […]

Leave a reply

error: Вміст захищено!!!