由于在框架上存在的部分漏洞,可導(dǎo)致部分Mac應(yīng)用在接收自動更新過程中可以遭受攻擊。
該安全漏洞于今年1月下旬被名為Radek的安全專家發(fā)現(xiàn),這些應(yīng)用使用存在漏洞版本的Sparkle,且在服務(wù)更新中使用未加密的HTTP渠道,存在潛在風(fēng)險會將惡意代碼傳染給終端用戶。Sparkle框架主要在Mac App Store之外使用用于促進(jìn)軟件自動更新。
據(jù)了解,Camtasia、Duet Display、uTorrent和Sketch等熱門應(yīng)用均受到影響。安全專家SimoneMargaritelli通過老版的VLC應(yīng)用(新版已經(jīng)修復(fù))演示證實存在這個問題,在OS X Yosemite和最新版本OS X ElCapitan系統(tǒng)版本。
GitHub用戶在網(wǎng)站上羅列了使用Sparkle框架的應(yīng)用程序,并非所有應(yīng)用都使用有漏洞的版本,且并非所有應(yīng)用都在非加密的HTTP渠道上傳輸數(shù)據(jù)。通過Mac App Store上下載且沒有使用Sparkle框架的應(yīng)用程序并不會受到影響。
依然有大量的應(yīng)用存在這樣的安全隱患,所以很難準(zhǔn)確的知道攻擊者使用那款應(yīng)用進(jìn)行了攻擊。