Mac-пользователи uTorrent и VLC в опасности

Роман Юрьев avatar | 15
FavoriteLoading В закладки
Mac-пользователи uTorrent и VLC в опасности

А также большого количества других приложений, использующих платформу обновления Sparkle Update.

Специалисты по интернет-безопасности выяснили, что в одной из сборок фреймворка Sparkle Update есть серьезная уязвимость. Платформа предназначена для простого поиска и загрузки обновлений компьютерных приложений. Хакеры, используя уязвимость и специальный код JavaScript, проникают в компьютер пользователя через приложения и могут провести так называемую атаку посредника.

Однако причина уязвимости заключается еще и в том, что многие приложения для Mac используют незащищенный канал HTTP вместо HTTPS для получения данных с серверов Sparkle. Именно из-за этого и стало возможным исполнение зловредного JavaScript-кода. Злоумышленники получают удаленный доступ к трафику, который передается между пользовательским маком и сервером фреймворка, к примеру, через незащищенную сеть Wi-Fi. Так они могут делать с пользовательскими данными все, что пожелают.

Один из ИБ-инженеров с ником Radek сообщает, что подобные атаки могут совершаться как на OS X El Capitan, так и на предыдущую версию — OS X Yosemite. На видео ниже показана атака с использованием описанной уязвимости на примере приложения Sequel Pro.

Полного списка приложений, незащищенных от хакеров, пока нет. Известно, что среди них присутствует много популярных программ вроде Camtasia, uTorrent, VLC Media Player, DuetDisplay и Sketch. Разработчики приложений в курсе существования уязвимости. Некоторые из них, в частности, VLC, уже даже выпустили патчи для защиты их программ. На сайте GitHub можно увидеть полный список приложений, которые используют фреймворк Sparkle для обновления.

Более того, создатели Sparkle уже выпустили обновление платформы, в котором уязвимость якобы исправлена. Однако осадочек остался. [ai]

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (Проголосуйте первым за статью!)
undefined
iPhones.ru
А также большого количества других приложений, использующих платформу обновления Sparkle Update. Специалисты по интернет-безопасности выяснили, что в одной из сборок фреймворка Sparkle Update есть серьезная уязвимость. Платформа предназначена для простого поиска и загрузки обновлений компьютерных приложений. Хакеры, используя уязвимость и специальный код JavaScript, проникают в компьютер пользователя через приложения и могут провести так называемую атаку...
Прокомментировать

🙈 Комментарии 15

  1. zephyr avatar
    zephyr10 февраля 2016
    1

    Может кто скажет, а что с transmission? Уже сто лет не обновлялся

    Букинxем avatar
    Букинxем10 февраля 2016
    0

    @zephyr, он всегда так обновляется. По одному релизу в год и то по праздникам.
    Там только один мак-разработчик и он или все не успевает, или просто занимается очень мелкими вещами (и он еще пришел недавно, а до этого была тишина). У них тонна багов, которые висят по 3-6 лет, и они до сих пор не исправлены.

    Chennolt avatar
    Chennolt10 февраля 2016
    1

    @zephyr, А что с ним? Работает, и хорошо.
    Зачем обновлять то, что и так работает как часы?)

    fessnekro avatar
    fessnekro10 февраля 2016
    0

    @zephyr, а что с ним не так? если зайти на сайт – то последняя стабильная сборка была 3 дня назад. Качайте и обновляйтесь… только зачем? Если так все работает прекрасно.

    zephyr avatar
    zephyr10 февраля 2016
    0

    @fessnekro, на сайте последняя сборка от июля 2015 года

    Winter_mute avatar
    Winter_mute10 февраля 2016
    0

    @fessnekro, последняя – это какая? 2.84? Или я не там смотрю?

    Snow fire avatar
    Snow fire11 февраля 2016
    0

    @zephyr, Главное что пашет)))

  2. evilsheep avatar
    evilsheep10 февраля 2016
    0

    После того, как utorrent был пойман на скрытом майнере, обхожу его стороной.

  3. doctorzol avatar
    doctorzol10 февраля 2016
    1

    как сто лет? Трансмиссия обновляется регулярно и с удовольствием, последняя версия 2 месяца назад вышла 2.84

  4. nochkin avatar
    nochkin10 февраля 2016
    0

    Какой осадочек остался? Осадочек в том, что они исправили уязвимость?
    Кстати, на линке на GitHub на самом деле не полный список.

    Роман Юрьев avatar
    Роман Юрьев11 февраля 2016
    0

    @nochkin, осадочек от уязвимости

    nochkin avatar
    nochkin11 февраля 2016
    0

    @Роман Юрьев, Уязвимости есть везде, даже в яблочных продуктах, но осадочка нет ведь.
    Дело не в уязвимости, а в том, как оперативно это решается.

  5. beatinears avatar
    beatinears10 февраля 2016
    0

    transmission пользую, но кстати на сайте она тоже в списке подозреваемых…. ТАк что делать? не обновляться или что?

  6. heller avatar
    heller11 февраля 2016
    0

    vlc два раза выдал ошибку обновления

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь