Для всех, кто не знает Sparkle, сразу уточните, что это такое каркас используется некоторыми сторонними приложениями в средствах обновления для периодического обновления до новых версий. Однако было обнаружено, что более старые версии этой платформы могут быть потенциально небезопасными из-за недавно обнаруженной уязвимости.
Во вторник этой недели обнаружилась проблема безопасности, которая затрагивает некоторые приложения, загружаемые из Интернета, к счастью, это nили это происходит с загруженными из Mac App Store по понятным причинам, поскольку последние обновляются через сам магазин, используя его защищенную сеть. Корень проблемы, похоже, кроется в отсутствии зашифрованного и безопасного соединения при обновлении, что может оставлять место для атака "человек посередине".
Теперь вопрос в том, какие приложения затронуты? Хотя мы не можем знать априори, какие приложения используют этот фреймворк, в GiHub список был создан с приложениями, которые разрабатываются пользователями, включая эту небезопасную версию средства обновления и эту может быть предрасположен к судорогам, что, по крайней мере, дает нам общее представление о том, может ли это повлиять на нашу команду.
Тем не менее не будьте паникерами, поскольку многие из этих приложенийОни используют Sparkle только как основу для своих обновлений, но это не означает, что все они подвержены уязвимости, а только те, которые используют устаревшую версию, потому что они ищут через канал HTTP вместо HTTPS.
Самый простой способ защитить себя от этой уязвимости - это если нам сообщат, что вышло новое обновление, не загружайте его напрямую из средства обновления, но мы можем перейти непосредственно на веб-сайт разработчика и сами загрузить его вручную, что избавит нас от раздражения, пока мы не будем уверены, что приложение не затронуто.
Ссылка выдает ошибку при попытке просмотреть список затронутых приложений на странице GiHub 404, не найденной
Ссылка на список уязвимых приложений не работает
Подправил ссылку. Спасибо за предупреждение.