Эксперт в области информационной безопасности Радослав Карпович обнаружил уязвимость в популярном фреймворке для OS X, используемом для облегчения процесса обновления приложений. По словам эксперта, во многих случаях в процессе загрузки и установки патчей посредством Sparkle Updater используется HTTP вместо HTTPS.

Как сообщает Securitylab, для работы механизма обновлений используется сервер AppCast, функционирующий по принципу RSS-ленты: как только выходит новая версия версия приложения, пользователь Mac получает соответствующее уведомление. Информация передается в виде XML-файлов. Существует ручной и автоматический режимы проверки.

Оказалось, что при автоматическом поиске обновлений приложения часто передают информацию по HTTP вместо HTTPS. Проблема существует из-за неосторожности разработчиков, забывающих правильно настроить механизм передачи данных.

В ходе проверки исследователь выявил целый ряд программ, использующих HTTP в ходе автоматической проверки обновлений. Ошибка затрагивает Adium, Coda, iTerm, Facebook Origami, Pixelmator, Sequel Pro, Tunnelblick, VLC и прочие популярные приложения.

Эксперт провел атаку «человек посередине», перехватил запрос сервера AppCast и подменил XML-сообщение вредоносным кодом. Поскольку для обработки файлов XML Sparkle Updater использует системный компонент WebView, Карповичу удалось удаленно выполнить в OS X произвольный код. Исследователь также смог вызвать отказ в работе компьютера и раскрыть содержимое некоторых файлов в ходе атаки по внешней сущности XML-файла.

Разработчики Sparkle Updater выпустили исправление для фреймворка, устраняющее обнаруженные Карповичем уязвимости.

Напомним, в конце января нынешнего года специалисты FireEye предостерегли разработчиков iOS-приложений от использования ПО для динамического обновления JSPatch. Программа позволяет несанкционированно вносить изменения в код готовых продуктов и может применяться злоумышленниками.