OS X, applicazioni vulnerabili con l'updater di terze parti

I ricercatori identificano un problema di sicurezza all'interno di un tool per gli aggiornamenti automatici sui sistemi Mac, e il numero di software interessati è potenzialmente "enorme". L'aggiornamento è d'obbligo

Roma – La sicurezza delle applicazioni per OS X è a rischio a causa di un bug presente su Sparkle , framework open source per l’aggiornamento semplificato del software per sistemi Mac potenzialmente sfruttabile per condurre attacchi di tipo Man-in-the-Middle (MITM) che permettono di introdursi nelle comunicazioni non protette fra client e server.

La versione vulnerabile di Sparkle comunica con il server configurato per gli aggiornamenti tramite canale HTTP privo di protezione crittografica (HTTPS), denunciano i ricercatori , e grazie al modo in cui viene gestita l’interpretazione di codice JavaScript all’interno dell’engine WebKit è possibile manipolare il traffico non protetto sfruttando il canale per la visualizzazione dell’advertising o magari connettendosi alla stessa rete WiFi dell’utente preso di mira.

L’attacco MITM può essere sfruttato per il furto di informazioni sensibili, l’invio di codice malevolo in grado di compromettere la macchina bersaglio o altro ancora, e il numero di applicazioni potenzialmente vulnerabili – poiché basato sulla versione fallata di Sparkle – è “enorme”.

I programmi la cui vulnerabilità è stata verificata empiricamente includono Camtasia 2 v2.10.4, DuetDisplay v1.5.2.4, uTorrent v1.8.7 e Sketch v3.5.1, mentre altrove si parla di DXO Optics Pro e il tool di reverse engineering Hopper; fallato anche DikeX , software per la firma digitale della italiana InfoCert.

Le versioni di OS X su cui è possibile sfruttare la falla comprendono le release più recenti (El Capitan e Yosemite), mentre dal punto di vista dell’utente l’unica linea di difesa consiste nell’aggiornamento del software coinvolto. Agli sviluppatori il compito di ricompilare le applicazioni sostituendo il codice vulnerabile di Sparkle.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • aieie brazov scrive:
    Venghino venghino
    c'è posto per tutti nel gran baraccone...
    • panda rossa scrive:
      Re: Venghino venghino
      - Scritto da: aieie brazov
      c'è posto per tutti nel gran baraccone...Tutti ammiragli e nessun timoniere.Arridatece Schettino!
      • ominio trepuntini 123 scrive:
        Re: Venghino venghino
        - Scritto da: panda rossa
        - Scritto da: aieie brazov

        c'è posto per tutti nel gran baraccone...

        Tutti ammiragli e nessun timoniere.

        Arridatece Schettino!Naaah già sperimentato il genere "XXXXXXXXXX"... non mi è parso che ne valesse la pena.
      • Sg@bbio scrive:
        Re: Venghino venghino
        - Scritto da: panda rossa
        - Scritto da: aieie brazov

        c'è posto per tutti nel gran baraccone...

        Tutti ammiragli e nessun timoniere.

        Arridatece Schettino!Tante nomine, ma poi i fatti stanno sempre a zero.
    • tototutugno scrive:
      Re: Venghino venghino
      - Scritto da: aieie brazov
      c'è posto per tutti nel gran baraccone...venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino venghino
Chiudi i commenti