Se descubre un agujero de seguridad en aplicaciones para Mac que usan versiones antiguas de Sparkle

Miguel Ángel Juncos

2 minutos

Sparkle-vulnerabilidad-seguridad-0

Para todos aquellos que no conozcáis Sparkle, simplemente aclarar que es un framework que utilizan algunas aplicaciones de terceros en los updater para actualizar a nuevas versiones periódicamente. Sin embargo se ha descubierto que versiones antiguas de este framework pueden ser potencialmente inseguras debido a una vulnerabilidad descubierta recientemente.

El martes de esta misma semana salió a la luz el problema de seguridad que afecta a algunas aplicaciones descargadas de Internet, afortunadamente esto no ocurre con aquellas descargadas desde la Mac App Store por motivos evidentes, ya que estas últimas se actualizan a través de la propia tienda usando su red segura. La raíz del problema parece radicar en la falta de una conexión cifrada y segura a la hora de actualizar pudiendo dejar hueco a un ataque man-in-th-middle.

Sparkle-vulnerabilidad-seguridad-1

La pregunta ahora es ¿que aplicaciones se ven afectadas?. Aunque no podamos saber a priori que aplicaciones utilizan este framework, en GiHub se ha creado una lista con aplicaciones que los usuarios están confeccionando que están desarrolladas incluyendo esta versión insegura del updater y que pueden ser propensas a ataques, lo que al menos nos da un punto de vista general sobre si nuestro equipo puede estar afectado.

Aún así no hay que ser alarmistas ya que muchas de estas aplicaciones solo utilizan Sparkle como framework para sus actualizaciones pero no significa que todas ellas estén afectadas por la vulnerabilidad, solo aquellas que usen una versión obsoleta debido a que realizan la búsqueda a través de un canal HTTP en vez de HTTPS.

La forma más sencilla de protegerse de esta vulnerabilidad es que si se nos indica que hay una nueva actualización, no proceder a descargarla directamente desde el actualizador sino que podremos ir directamente a la web del desarrollador y descargarla manualmente nosotros mismos, con lo que podremos ahorrarnos un disgusto hasta que sepamos de forma segura que la aplicación no está afectada.


Comprar un dominio
Te interesa:
Los secretos para lanzar tu sitio web con éxito

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.

  1.   Malvo dijo
    hace 8 años

    Da error el enlace al intentar consultar la lista de apps afectadas en GiHub 404 page no found

    Responder a Malvo
  2.   Marcelo Naranjo Arcos dijo
    hace 8 años

    El enlace para ver la lista de aplicaciones afectadas no funciona

    Responder a Marcelo Naranjo Arcos
  3.   Miguel Ángel Juncos dijo
    hace 8 años

    Corregido el enlace. Gracias por el aviso.

    Responder a Miguel Ángel Juncos