В популярном фреймворке для OS X обнаружена уязвимость

В популярном фреймворке для OS X обнаружена уязвимость

Ошибка позволяет осуществить атаку "человек посередине" и выполнить произвольный код.

ИБ-специалист Радослав Карпович (Radoslaw Karpowicz) обнаружил уязвимость в Sparkle Updater – популярном фреймворке для OS X, используемом для облегчения процесса обновления приложений. Как сообщается в блоге эксперта, во многих случаях в процессе загрузки и установки патчей используется HTTP вместо HTTPS.

Для работы Sparkle Update использует сервер AppCast, функционирующий по принципу RSS-ленты: как только выходит обновленная версия приложения, пользователь получает соответствующее уведомление. Информация передается в виде XML-файлов. Существует ручной и автоматический режимы проверки.

Как выяснилось, при автоматическом поиске обновлений приложения часто передают информацию по HTTP вместо HTTPS. Проблема существует из-за неосторожности разработчиков, забывающих корректно настроить механизм передачи данных.

В ходе проверки исследователь выявил целый ряд программ, использующих HTTP в ходе автоматической проверки обновлений. Ошибка затрагивала Adium, Coda, iTerm, Facebook Origami, Pixelmator, Sequel Pro, Tunnelblick, VLC и прочие приложения.

Эксперт провел атаку «человек посередине», перехватил запрос сервера AppCast и подменил XML-сообщение вредоносным кодом. Поскольку для обработки файлов XML Sparkle Updater использует системный компонент WebView, Карповичу удалось удаленно выполнить произвольный код на целевой системе. Исследователь также смог вызвать отказ в обслуживании и раскрыть содержимое некоторых файлов в ходе атаки по внешней сущности XML-файла.

Разработчики Sparkle Updater выпустили исправление для фреймворка, устраняющее обнаруженные Карповичем уязвимости.

Напомним, в конце января нынешнего года специалисты FireEye предостерегли разработчиков iOS-приложений от использования ПО для динамического обновления JSPatch. Программа позволяет несанкционированно вносить изменения в код готовых продуктов и может применяться злоумышленниками.

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь