Mac系統(tǒng)存漏洞 軟件更新時可遭攻擊

責(zé)任編輯:editor007

2016-02-13 17:02:16

摘自:Donews

由于在框架上存在的部分漏洞,可導(dǎo)致部分Mac應(yīng)用在接收自動更新過程中可以遭受攻擊。GitHub用戶在網(wǎng)站上羅列了使用Sparkle框架的應(yīng)用程序,并非所有應(yīng)用都使用有漏洞的版本,且并非所有應(yīng)用都在非加密的HTTP渠道上傳輸數(shù)據(jù)。

由于在框架上存在的部分漏洞,可導(dǎo)致部分Mac應(yīng)用在接收自動更新過程中可以遭受攻擊。

該安全漏洞于今年1月下旬被名為Radek的安全專家發(fā)現(xiàn),這些應(yīng)用使用存在漏洞版本的Sparkle,且在服務(wù)更新中使用未加密的HTTP渠道,存在潛在風(fēng)險會將惡意代碼傳染給終端用戶。Sparkle框架主要在Mac App Store之外使用用于促進(jìn)軟件自動更新。

據(jù)了解,Camtasia、Duet Display、uTorrent和Sketch等熱門應(yīng)用均受到影響。安全專家SimoneMargaritelli通過老版的VLC應(yīng)用(新版已經(jīng)修復(fù))演示證實存在這個問題,在OS X Yosemite和最新版本OS X ElCapitan系統(tǒng)版本。

GitHub用戶在網(wǎng)站上羅列了使用Sparkle框架的應(yīng)用程序,并非所有應(yīng)用都使用有漏洞的版本,且并非所有應(yīng)用都在非加密的HTTP渠道上傳輸數(shù)據(jù)。通過Mac App Store上下載且沒有使用Sparkle框架的應(yīng)用程序并不會受到影響。

依然有大量的應(yīng)用存在這樣的安全隱患,所以很難準(zhǔn)確的知道攻擊者使用那款應(yīng)用進(jìn)行了攻擊。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號