Mac アプリのソフトウェア更新を容易にするために使用されるオープンソースフレームワークである Sparkle に最近発見された脆弱性により、「膨大な」数のアプリが中間者攻撃に対して無防備な状態になっている。
Ars Technica は 、特定の Sparkle ビルドで見つかった WebKit レンダリング エンジンの実装に欠陥があり、影響を受けるアプリがソフトウェア更新をチェックする際に悪意のある人物が JavaScript コードを挿入して実行できる脆弱性の原因であると報告しています。
その結果、エンドユーザーとサーバー間のトラフィックを操作できる攻撃者(例えば、同じWi-Fiネットワーク上の攻撃者)は、通信に悪意のあるコードを挿入することが可能になります。Radekという名のセキュリティエンジニアは、この攻撃は現行のEl Capitan Macプラットフォームとその前身であるYosemiteの両方で実行可能であると述べています。
影響を受けるアプリには、Camtasia、Duet Display、uTorrent、Sketchなど、広くダウンロードされているタイトルが含まれます。以下の動画は、Sequel Proアプリの脆弱なバージョンに対して実行された概念実証攻撃を示しています。
脆弱性のあるSparkleバージョンに加えて、脆弱なアプリは、インターネットサーバーからソフトウェアアップデートを受信するために、暗号化されていないHTTPチャネルを実行している必要があります。攻撃者はネットワークトラフィックを傍受し、標的のMac上で悪意のあるコードを実行できる可能性があります。
Radekという名のセキュリティエンジニアは、この攻撃は現行のOS X 10.11 El Capitan Macプラットフォームとその前身となるOS X 10.10 Yosemiteの両方で実行可能であると述べています。(Mac App Storeからダウンロードしたアプリは、アップデートにSparkle Updaterを使用していないため、影響を受けません。)
Sparkleをアップデートフレームワークとして使用しているアプリのリストがGitHubに投稿されていますが、リストされているアプリのすべてが安全でないHTTPチャネル経由で通信したり、脆弱なバージョンのアップデートフレームワークを使用しているわけではないことに注意してください。Sparkle Updaterは修正プログラムをリリースしており、最新リリースで利用可能です。ただし、サードパーティの開発者は、パッチを適用したフレームワークをアプリに統合する必要があります。
