Flere populære programmer, inkludert BitTorrent-klient uTorrent og video redigering programvare Camtasia er sannsynlig sårbar overfor sikkerhetsangrep. Sårbarheter som finnes i Sparkle, en åpen kildekode tredjeparts programvare rammeverk som brukes til å legge til rette programvareoppdateringer som mange programmer bruker for å motta oppdateringer, har potensielt eksponert mange apps til man-in-the-middle-angrep, ifølge en rapport.
En feil WebKit rendering motoren implementering i Sparkle sies å ha gjort det mulig for angripere å kjøre JavaScript-kode. Anmeldt av sikkerhet forsker Radek, utnytte påvirker apps som kjører på OS X 10.11 (El Capitan (naturformasjon) og OS X 10.10 (Yosemite).
For å utnytte arbeid, men den sårbare apps må kjøre på en ukryptert HTTP nettverk. Videre kan en angriper trenger til å trykke på den ukryptert nettverk og sette inn skadelig kode i kommunikasjon. Simone Margaritelli, annen sikkerhet forsker, viste hvordan de angrep kunne gjøres. Han klarte å angripe VLC Media Player. VideoLAN, utvikleren av populære media player, har siden oppdatert sikkerhetsoppdateringen.
“Kort sagt, alle programmer som bruker Sparkle Updater rammeverk og kobler til via HTTP, i stedet for en sikker HTTPS-tilkobling er sårbare. Siden Sparkle kaster en feil i tilfelle av en ugyldig SSL-sertifikat med standard, det bidrar til å beskytte mot MITM-angrep når de brukes klokt,” Radek skrev i et blogginnlegg.
På dette punktet, det er ikke klart nøyaktig hvor mange programmer som er berørt på grunn av sikkerhetsproblemer i Gnisten. Radek sa (via ArsTechnica) at han mener det teller for å bli “stor.” Noen apper som bruker Sparkle inkluderer Evernote, Fantastisk, Flux, Slakk, Twitterrific, HipChat, og TeamViewer blant andre. De har ikke blitt klassifisert som sårbare ennå.
Den gode nyheten er at Gnisten utviklere har lappet den sikkerhetshull, og legger til at utviklere som utnyttar sine tjenesten bør oppdatere til nyeste versjon av rammeverket.
Last ned Gadgets 360-app for Android og iOS for å holde deg oppdatert med den nyeste tech nyheter, produkt
anmeldelser og eksklusive tilbud på de populære mobiler.