Приложения для Mac оказались под угрозой атаки злоумышленников

Компьютеры на OS X уязвимы, и это не раз подтверждалось. Новая уязвимость, найденная исследователем в области безопасности под именем Radek, может позволить злоумышленникам получить доступ к огромному количеству приложений, установленных на нашем Mac, и с их помощью атаковать другие компьютеры, находящиеся в одной сети. Атаке подвержены приложения как для OS X Yosemite, так и для OS X El Capitan.

Уязвимость кроется в Sparkle. Для тех, кто не знает: Sparkle — это инструмент, который активно используется разработчиками сторонних приложений для обновления продукта на свежую версию. Это касается только тех приложений, которые устанавливаются и обновляются без помощи Mac App Store. Механизм обновления приложений в OS X не использует Sparkle Update для приложений из магазина Apple.

Уязвимость существует благодаря тому, что среда Sparkle Update подключается с помощью HTTP вместо защищенного протокола HTTPS. Разумеется, в первую очередь информацию об уязвимости получили разработчики. Sparkle уже обновили свою среду и закрыли уязвимость. Многие разработчики уже работают над обновлением, а некоторые, например создатели популярного проигрывателя VLC, уже выпустили обновленное приложение, использующее новую среду Sparkle Update.