uTorrent, Camtasia и многие другие программы для Mac содержат уязвимость из-за Sparkle Updater
В фреймворке Sparkle, который используется для создания приложений Mac, обнаружена уязвимость, которая позволяет хакерам осуществить атаку «человек посередине» (man-in-the-middle, MitM). Об этом сообщил портал Ars Technica со ссылкой на исследователя безопасности с псевдонимом Radek.
Sparkle отвечает за загрузку обновлений для приложения. Злоумышленник может вклинится в незашифрованный HTTP-канал между Mac и сервером, из которого загружаются обновления, и установить на устройство вирус, который будет иметь права легально подписанной программы.
Уязвимость присутствует в популярных программах для Mac, таких как Camtasia, Duet Display, uTorrent и Sketch.
Ещё один исследователь Саймон Маргарителли (Simone Margaritelli) воспользовался набором эксплоитов Metasploit и воспроизвёл успешную MitM-атаку на старую версию VLC Media Player. Разработчики VLC несколько дней назад выпустили обновление, поэтому программа больше не содержит уязвимость.
Создатели Sparkle также выпустили новую версию загрузчика обновлений, но потребуется некоторое время, прежде чем остальные приложения Mac получат соответствующие обновления.
Приложения, которые распространяются через Mac App Store, уязвимости не подвержены, потому что в OS X существует собственный механизм обновления, не использующий Sparkle.