Десятки популярных приложений для компьютеров Mac, таких как VLC, uTorrent и Transmission, оказались подвержены атаке вида "человек посередине", когда злоумышленник, встав между клиентом и сервером, может перехватить интернет-трафик и завладеть конфиденциальной информацией. В первую очередь, речь идет о программах, которые распространяются вне официального магазина Mac App Store.
По словам инженера из компании Vulnsec, известного под ником Radek, в уязвимости виновата ошибка Sparkle Updater — стороннего инструмента, который используется автоматической загрузки обновлений. В случае, если разработчик не выбрал передачу апдейта по защищенному HTTPS-протоколу, его программа может служить лазейкой для хакеров. При этом приложения, загруженные через официальный магазин Apple, опасности не представляют, поскольку там фреймворк Sparkle не используется.
Ошибка в модуле затрагивает актуальную (El Capitan) и предыдущую (Yosemite) версии OS X. Как сообщил Radek, она ставит под угрозу безопасность "огромного" числа Mac-приложений, таких как Camtasia 2 (версия 2.10.4), DuetDisplay (1.5.2.4), uTorrent (1.8.7) и Sketch (3.5.1). Кроме того, Sparkle используют для обновления Carbon Copy Cloner, Cinch, Evernote, Fantastical, Flux, Handbrake, iTerm, Karabiner, Sequel, Pro, Slack, Transmission, VLC, Wine и другие программы.
Впрочем, какие из них передают информацию по незащищенному соединению, точно неизвестно. Например, популярный чат-клиент Adium также использует Sparkle, однако шифрует данные по HTTPS-протоколу. Уязвимость во фреймворке уже устранена, а пользователям рекомендуется следить за обновлениями и устанавливать их при первой возможности.
Источник: The Next Web
