由于在框架上存在的部分漏洞,可導致部分Mac應用在接收自動更新過程中可以遭受攻擊。
該安全漏洞于今年1月下旬被名為Radek的安全專家發(fā)現(xiàn),這些應用使用存在漏洞版本的Sparkle,且在服務更新中使用未加密的HTTP渠道,存在潛在風險會將惡意代碼傳染給終端用戶。Sparkle框架主要在Mac App Store之外使用用于促進軟件自動更新。
據(jù)了解,Camtasia、Duet Display、uTorrent和Sketch等熱門應用均受到影響。安全專家SimoneMargaritelli通過老版的VLC應用(新版已經(jīng)修復)演示證實存在這個問題,在OS X Yosemite和最新版本OS X ElCapitan系統(tǒng)版本。
GitHub用戶在網(wǎng)站上羅列了使用Sparkle框架的應用程序,并非所有應用都使用有漏洞的版本,且并非所有應用都在非加密的HTTP渠道上傳輸數(shù)據(jù)。通過Mac App Store上下載且沒有使用Sparkle框架的應用程序并不會受到影響。
依然有大量的應用存在這樣的安全隱患,所以很難準確的知道攻擊者使用那款應用進行了攻擊。
京公網(wǎng)安備 11010502049343號