В фреймворке Sparkle Updater для OS X обнаружена уязвимость


Mac OS XВ популярном фреймворке для OS X Sparkle Updater - фреймворке, используемом для облегчения процесса обновления приложений, была обнаружена уязвимость. Согласно заявлению, во многих случаях в процессе загрузки и установки патчей используется HTTP вместо HTTPS.

Напомним, что для своей работы Sparkle Update использует сервер AppCast, который функционирует по принципу RSS-ленты. Т.е., как только выходит обновленная версия приложения, пользователь получает соответствующее уведомление. Вся информация передается в виде XML-файлов. При этом существует ручной и автоматический режимы проверки.

Удалось установить, что при автоматическом поиске обновлений приложения часто передают информацию по HTTP вместо HTTPS. Проблема существует из-за некорректно настроенного механизма передачи данных.

Тщательно изучив данный вопрос, исследователь выявил целый ряд программ, использующих HTTP в ходе автоматической проверки обновлений. Ошибка затрагивала:

  • Adium, Coda, iTerm, Facebook Origami, Pixelmator, Sequel Pro, Tunnelblick, VLC и прочие приложения.


Эксперт успешно осуществил атаку "человек посередине", в результате перехватил запрос сервера AppCast и подменил XML-сообщение вредоносным кодом. А поскольку для обработки файлов XML Sparkle Updater использует системный компонент WebView, то исследователю удалось удаленно выполнить произвольный код на целевой системе. Он также смог вызвать отказ в обслуживании и раскрыть содержимое некоторых файлов в ходе атаки по внешней сущности XML-файла.

Разработчики Sparkle Updater уже выпустили исправление для фреймворка, закрыв обнаруженные уязвимости.


Обновлено (03.02.2016 21:22)