Alfonso Maruccia

OS X, applicazioni vulnerabili con l'updater di terze parti

I ricercatori identificano un problema di sicurezza all'interno di un tool per gli aggiornamenti automatici sui sistemi Mac, e il numero di software interessati è potenzialmente "enorme". L'aggiornamento è d'obbligo

Roma - La sicurezza delle applicazioni per OS X è a rischio a causa di un bug presente su Sparkle, framework open source per l'aggiornamento semplificato del software per sistemi Mac potenzialmente sfruttabile per condurre attacchi di tipo Man-in-the-Middle (MITM) che permettono di introdursi nelle comunicazioni non protette fra client e server.

La versione vulnerabile di Sparkle comunica con il server configurato per gli aggiornamenti tramite canale HTTP privo di protezione crittografica (HTTPS), denunciano i ricercatori, e grazie al modo in cui viene gestita l'interpretazione di codice JavaScript all'interno dell'engine WebKit è possibile manipolare il traffico non protetto sfruttando il canale per la visualizzazione dell'advertising o magari connettendosi alla stessa rete WiFi dell'utente preso di mira.

L'attacco MITM può essere sfruttato per il furto di informazioni sensibili, l'invio di codice malevolo in grado di compromettere la macchina bersaglio o altro ancora, e il numero di applicazioni potenzialmente vulnerabili - poiché basato sulla versione fallata di Sparkle - è "enorme".
I programmi la cui vulnerabilità è stata verificata empiricamente includono Camtasia 2 v2.10.4, DuetDisplay v1.5.2.4, uTorrent v1.8.7 e Sketch v3.5.1, mentre altrove si parla di DXO Optics Pro e il tool di reverse engineering Hopper; fallato anche DikeX, software per la firma digitale della italiana InfoCert.

Le versioni di OS X su cui è possibile sfruttare la falla comprendono le release più recenti (El Capitan e Yosemite), mentre dal punto di vista dell'utente l'unica linea di difesa consiste nell'aggiornamento del software coinvolto. Agli sviluppatori il compito di ricompilare le applicazioni sostituendo il codice vulnerabile di Sparkle.

Alfonso Maruccia
Notizie collegate
4 Commenti alla Notizia OS X, applicazioni vulnerabili con l'updater di terze parti
Ordina