Dla wszystkich, którzy nie znają Sparkle, po prostu wyjaśnij, co to jest ramy używane przez niektóre aplikacje innych firm w aktualizatorach do okresowej aktualizacji do nowych wersji. Jednak odkryto, że starsze wersje tej platformy mogą być potencjalnie niebezpieczne ze względu na niedawno odkrytą lukę.
We wtorek tego tygodnia wyszedł na jaw problem bezpieczeństwa, który dotyka niektóre aplikacje pobierane z Internetu, na szczęście ten nlub zdarza się z tymi pobranymi z Mac App Store z oczywistych powodów, ponieważ te ostatnie są aktualizowane za pośrednictwem samego sklepu przy użyciu jego bezpiecznej sieci. Wydaje się, że przyczyną problemu jest brak szyfrowanego i bezpiecznego połączenia podczas aktualizacji, co może zostawić miejsce na atak man-in-th-middle.
Powstaje pytanie, których aplikacji dotyczy problem? Chociaż nie możemy z góry wiedzieć, które aplikacje używają tego frameworka, w GiHub lista została utworzona z aplikacjami tworzonymi przez użytkowników, w tym z niezabezpieczoną wersją modułu aktualizującego i tak dalej może być podatny na drgawki, co przynajmniej daje nam ogólny pogląd na to, czy może to dotyczyć naszego zespołu.
Mimo to nie ma potrzeby być alarmistą, jak wiele z tych aplikacjiUżywają tylko Sparkle jako ramy za aktualizacje, ale nie oznacza to, że luka dotyczy wszystkich, a tylko tych, które używają nieaktualnej wersji, ponieważ przeszukują kanał HTTP zamiast HTTPS.
Najłatwiejszym sposobem ochrony przed tą luką jest to, że jeśli zostaniemy poinformowani o nowej aktualizacji, nie pobieraj go bezpośrednio z aktualizatora, ale możemy przejść bezpośrednio do strony dewelopera i pobrać ją ręcznie, dzięki czemu możemy zaoszczędzić sobie trochę irytacji, dopóki nie będziemy mieć pewności, że aplikacja nie jest zagrożona.
Łącze powoduje błąd podczas próby sprawdzenia listy aplikacji, których dotyczy problem, na stronie GiHub 404 nie znaleziono
Link do listy aplikacji, których dotyczy problem, nie działa
Poprawiono link. Dzięki za ostrzeżenie.