对于所有不了解Sparkle的人,只需澄清一下它是什么 一个框架 由更新程序中的某些第三方应用程序用来定期更新到新版本。 但是,已经发现由于最近发现的漏洞,该框架的较旧版本可能潜在地不安全。
在本周的星期二,影响从Internet下载的某些应用程序的安全性问题曝光了,幸运的是,或者发生在从Mac App Store下载的内容中 出于明显的原因,因为后者是使用商店的安全网络通过商店本身进行更新的。 问题的根源似乎在于更新时缺少加密和安全的连接,这可能为 中间人攻击.
现在的问题是哪些应用程序受到影响? 尽管我们无法事先知道哪些应用程序使用此框架,但在GiHub中 列表已创建 与用户正在开发的应用程序一起开发,包括不安全的更新程序版本以及 可能容易发作,这至少使我们对我们的团队是否会受到影响有一个普遍的看法。
不过,由于其中许多应用程序都是他们只使用Sparkle作为框架 进行更新,但这并不意味着它们都受此漏洞的影响,仅受那些使用过时版本的用户的影响,因为它们通过HTTP通道而不是HTTPS搜索。
保护自己不受此漏洞影响的最简单方法是,如果系统告知您有新更新, 不要继续直接下载 通过更新程序,但是我们可以直接访问开发人员的网站并手动手动下载它,因此我们可以为自己节省一些烦恼,直到我们确定该应用程序不受影响为止。
尝试在GiHub 404页面中找不到受影响的应用程序列表时,该链接给出错误
查看受影响的应用程序列表的链接不起作用
更正了链接。 谢谢你的提醒。