Parece que uma grande quantidade de aplicativos para Mac é vulnerável a ataques man-in-the-middle por causa de uma falha em um atualizador de software de terceiros.

A falha de segurança existe na estrutura do Sparkle Updater - que é usada para receber atualizações automáticas de uma grande quantidade de aplicativos nos computadores da Apple, incluindo Cisco Jabber, Roxio Toast e VLC - e pode ser usada por um invasor para seqüestrar a máquina da vítima, fornecendo O atacante está na mesma rede (conectado ao mesmo hotspot Wi-Fi, por exemplo).

A vulnerabilidade foi destacada por um pesquisador de segurança conhecido simplesmente como Radek, que publicou detalhes sobre o exploit, como reporta o Ars Technica, e testou-o trabalhando tanto no El Capitan, a última versão do OS X, quanto na versão anterior, Yosemite. Ele disse que uma quantidade "enorme" de aplicativos é afetada.

Radek observa: "A vulnerabilidade não está na própria assinatura do código. Ela existe devido à funcionalidade fornecida pela visualização do WebKit que permite a execução do JavaScript e a capacidade de modificar o tráfego HTTP não criptografado (resposta XML)."

Em outras palavras, aplicativos que usam HTTP não criptografado (em oposição a HTTPS) e a versão vulnerável do Sparkle Updater estão abertos para serem explorados.

Atualize esse Updater, devs…

Uma nova versão do Sparkle Updater que trata desse problema (e uma segunda vulnerabilidade menor apontada pela Radek) já está disponível, mas desenvolvedores de software podem não ter atualizado seu produto para usá-lo ainda.

Portanto, esse é um campo minado em termos de quais aplicativos poderiam ser afetados - obviamente, é apenas um software que usa Sparkle, mas nem todos esses aplicativos usam HTTP inseguro, e alguns programas já podem ter sido movidos para a versão mais recente do Sparkle Updater..

Por enquanto, enquanto os desenvolvedores corrigem seus softwares, agora as notícias sobre essa vulnerabilidade se espalharam, se você estiver preocupado com os aplicativos em sua máquina, como a Ars Technica aconselha, é melhor evitar os tipos de Wi-Fi público. hotspots.

O incidente também é outro lembrete de que a segurança do Mac não é de ferro fundido, uma crença ainda mantida por alguns, mas um deles sendo rapidamente corroído nos dias de hoje..

  • Melhor Mac para comprar em 2016: os melhores iMacs, MacBooks e outros da Apple