29 Luglio 2021
La scorsa settimana lo sviluppatore Radek ha pubblicato sul suo blog un dettagliato articolo che svela una pericolosa vulnerabilità presente all'interno di una vecchia versione dell'Updater Sparkle, un framework open-source largamente utilizzato per distribuire aggiornamenti di applicazioni per Mac. Un potenziale attaccante potrebbe prendere il controllo di un Mac connesso alla sua rete locale, spacciando il codice infetto per un aggiornamento software.
Le applicazioni vulnerabili si connettono al server di distribuzione degli update via HTTP, protocollo soggetto, a differenza del più sicuro HTTPS, ad attacchi di man-in-the-middle: l'attaccante si pone in mezzo al canale di comunicazione tra l'utente e il server senza che nessuna delle due parti se ne accorga. La falla, secondo gli esperti, risiederebbe nel modo in cui la versione bacata di Sparkle interagisce con WebKit, permettendo l'esecuzione di codice JavaScript.
Di seguito viene mostrata in video una proof-of-concept dell'attacco che può esser messo a segno: l'utente richiede un aggiornamento dell'applicazione ma riceve un pacchetto infetto, che se aperto porta all'esecuzione di codice malevolo. Lo sviluppatore Simone Margaritelli ha documentato lo stesso tipo d'attacco sul suo Mac sfruttando l'ultima la penultima versione di VLC.
Una patch di Sparkle è già stata rilasciata ma al momento alcune applicazioni che fanno uso di versioni precedenti non sono state ancora aggiornate. Non è affetta alcuna applicazione scaricata dal Mac App Store, che utilizzano un sistema di aggiornamento sviluppato ad hoc da Apple. Ecco alcune app di cui è stata verificata la vulnerabilità nelle ultime versioni disponibili (probabilmente verranno aggiornate a breve):
- VLC (v2.2.1)
- uTorrent (v1.8.7)
- Duet Display (v1.5.2.4)
- Sketch (v3.5.1)
- Camtasia (v2.10.4)
- BitTorrent Sync
- BetterTouchTool
- Mactracker
- Wine
- MiniPlayer
- Suplime Text
- Coda
- Adium
- Tunnelblick
- iTerm
- Facebook Origami
- SequelPro
Non tutte le applicazioni che utilizzano Sparkle sono vulnerabili, ad esempio Pixelmator, DaisyDisk e Slack. La raccomandazione per tutti gli utenti Mac è attendere gli aggiornamenti delle applicazioni vulnerabili utilizzate, scaricandole possibilmente dal sito ufficiale delle case sviluppatrici. Ricordiamo che l'attacco deve essere eseguito dall'interno della vostra rete locale, quindi se non frequentate reti Wi-Fi non sicure o altre reti aperte a possibili attaccanti, non correrete alcun rischio.
Commenti
ma neanchei bug esistono su apple.
non li fanno.
quelli che scoprono gli altri sono messi apposta li dai provrammatori della Eppoll.
vero quelli si insediano nel firmeare del bios di un imerd e non li toglie neanche il tecnico ritardato della apple.
ahahahahah
Naaaaaa... Mi hanno fatto le p@lle così quadrate dall'altra parte che devo sfogarmi un po'!
Mah! Io fossi in te eviterei! Ma alla grande eh!
Si, ciao. Vai da mio cuggino.
Windows più sicuro, con quali dati ? Ci sono meno falle di sicurezza ? Si, secondo i dati che dà MS, essendo proprietario non lo saprai mai, magari ci sono un sacco di falle che loro correggono senza dire nulla a nessuno, magari ci sono un sacco di falle che nessuno nota ma ci sono, è chiaro che sui sitemi open appena correggi una falla la devi rendere pubblica, perché tutti vedono la patch che hai fatto, mentre MS si limita a dire "aggiornamento che migliora la sicurezza di Windows", senza specificare quali erano le falle e quante erano gravi, quindi per favore smettila con questa storia che Windows è più sicuro perché ci sono meno falle, non è vero e non è così...
ho solo VLC disinstallo?
In vero stile Apple, non è una falla è una feature :)
Piu sicuro un par di balle
Fammi trollare ti prego!
Ma quando si va in un hotel, B&B e si condivide tutti lo stesso WI-FI casalingo nessuno però si pone domande
e solo ai grafici, perchè solo i grafici possono lavorare su MAC
gli sviluppatori nooooo
ho VLC, uTorrent e BTT ma sparkle non l'ho mai visto?
Hahahaha
Apple allo zero virgola niente. Non mi sembra così difficile da capire. Sto trollando, ma non sono esperto come la concorrenza mi spiace :/
"Il miglior bug di sempre" è stato già detto?
Ogni volta che qualcuno usa Windows un esperto di sicurezza vive... vive grazie al lavoro di tappare le falle Windows.
Non è un virus infatti... inoltre è già stato sistemato con gli ultimi aggiornamenti dei software colpiti.
Qualcuno mi può sottotitolare in italiano questo commento?
Scusa! Ma che minki@ hai detto o avresti voluto dire????
Come fai a criticare qualcuno se non sai mettere due parole in fila???
Un esperto di sicurezza non ti dirà ma che windows è sicuro... infatti se guardi negli ambiti dove è richiesta maggiore sicurezza non si usa windows ma si usano sistemi unix-like come Linux, BSD ed altri
mi chiedi troppo. Su questi articoli vengo a rompere, mica a capirli, tanto il mac a casa non lo uso io, quindi poco mi frega realmente di analizzare fino in fondo
Gentile utente, vicini nel Suo dolore e con forte commozione esprimiamo il nostro cordoglio per la Sua perdita.
Sempre Suo Supporto Clienti Apple.
mi pare corretto. Sparkle vuol dire scintillare... quindi senz'altro si tratta di violazione del motto: "Magic!"
Hahahahaha apple m€rda!!! Sui pc allo 0, niente!!!! Hahahaha vende quei quattro pc a giornalisti e fighetti e!
Apple ha avviato delle indagini per appurare se il framework Sparkle stia violando brevetti Apple relativi a "Conversion Techniques of Bugs and Malfunctions into Operative System Features"
gentile succo di frutta. Ho un MBP morto e il telegram era di condiglianze!
Gentile utente, Le ricordiamo che i prodotti Apple non sono certificati per l'utilizzo con sistemi operativi di terze parti.
Per eventuali quesiti relativi all'utilizzo del Suo Mac con il sistema operativo dal Lei indicato (Telegram), La invitiamo pertanto a contattare direttamente l'assistenza di Telegram.
Gentile supporto, ma io ho un MBP con telegram!
troll osceno
Bhe non è una falla di OSX, è solo una falla di un programma esterno usato per scaricare update, che è ben diverso, OSX non centra nulla
La falla e' proprio negli update delle applicazioni scaricate dai siti ufficiali esterni a Mac App Store.
Gentile utente, dal momento che Lei sta qui ponendo un quesito in merito ad un sistema operativo non Apple non possiamo darLe supporto.
La invitiamo a contattare il supporto Telegram per quesiti in merito alla qualità di Telegram.
senza canali terzi ci fai ben poco col mac e poi e` noto che la sicurezza va a farsi fott3re soprattutto per software di terzi...rimane che nei vari report da anni a questa parte mac e` meno sicuro di windows nonostante abbia una piccolissima manciata di software disponibili rispetto alla concorrenza.
Gentile utente, meglio telegram.
Gentile utente, dal momento che Lei sta qui ponendo un quesito in merito ad un sistema operativo non Apple non possiamo darLe supporto.
La invitiamo a contattare il supporto Google per quesiti in merito a bug relativi a Android.
Gentile utente, dal momento che Lei sta qui ponendo un quesito in merito ad un sistema operativo non Apple non possiamo darLe supporto.
La invitiamo a contattare il supporto Microsoft per quesiti in merito a bug relativi a Windows.
Aggiornato post, la versione 2.2.2 contiene la patch
Concetti elementari per usi elementari, ovviamente.
Ogni volta che qualcuno scrive che il Mac è più sicuro un esperto di sicurezza muore.
Falle che gli altri produttori pagherebbero per averle [cit.]
quindi se sei su windows, e hai un'app che ha un sistema di aggiornamento malevole, è un bug windows? ok..
l 'update sparkle è ufficiale delle app... il discorso è che è molto difficile che ti entrino con questo sistema e nel breve verranno tutti aggiornati per risolvere questo problema. inoltre molte di quelle app la gente non le possiede.. giusto forse vlc e bettertouchtool
Da come è scritto nell'articolo si. Ma sinceramente non ricordo dove ho letto, che appunto, diceva si fosse risolto il problema con la 2.2.2. Probabile anche mi sbagli...
questo non è un virus ma un bug...
si ma sembra che il problema sia proprio sull'ultima versione o no?
ok ma allora il framework Sparkle che non è Apple come ha fatto?
Eh ma infatti avevo letto che si era aggiornata anche per questo problema
no, solo apple puó convertire i bug in features, lo ha brevettato
tra l'altro VLC si è aggiornata 2 giorni fa LOL complimenti agli sviluppatori
ma Nesta non è il creatore di MacKeeper?