Parece que una gran cantidad de aplicaciones de Mac son vulnerables a los ataques de intermediarios debido a una falla en un software de actualización de terceros..

El agujero de seguridad existe en el marco de Sparkle Updater, que se utiliza para recibir actualizaciones automáticas de una gran cantidad de aplicaciones en las computadoras de Apple, como Cisco Jabber, Roxio Toast y VLC, y puede ser utilizado por un atacante para secuestrar la máquina de la víctima, proporcionando el atacante está en la misma red (conectado a la misma zona Wi-Fi, por ejemplo).

La vulnerabilidad fue resaltada por un investigador de seguridad conocido simplemente como Radek que publicó en detalle sobre el exploit, como informa Ars Technica, y lo probó trabajando tanto en El Capitan, la última versión de OS X, como en la versión anterior, Yosemite. Dijo que una "enorme" cantidad de aplicaciones se ven afectadas.

Radek señala: "La vulnerabilidad no se encuentra en la firma de código. Existe debido a la funcionalidad proporcionada por la vista WebKit que permite la ejecución de JavaScript y la capacidad de modificar el tráfico HTTP sin cifrar (respuesta XML)".

En otras palabras, las aplicaciones que utilizan HTTP sin cifrar (a diferencia de HTTPS) y la versión vulnerable de Sparkle Updater están abiertas para ser explotadas.

Actualizar ese actualizador, desarrolladores ...

Ya está disponible una nueva versión de Sparkle Updater que aborda este problema (y una segunda vulnerabilidad menos señalada por Radek), pero es posible que los desarrolladores de software no hayan actualizado su producto para usarlo aún..

Por lo tanto, este es un campo minado en lo que respecta a las aplicaciones que podrían verse afectadas. Obviamente, solo es un software que utiliza Sparkle, pero no todas estas aplicaciones usan HTTP inseguro, y es posible que algunos programas ya se hayan movido a la última versión de Sparkle Updater.

Por el momento, mientras los desarrolladores arreglan su software ahora, las noticias de esta vulnerabilidad se han generalizado, si le preocupan las aplicaciones en su máquina, como Ars Technica aconseja, es mejor que evite las redes inalámbricas públicas. Puntos calientes.

El incidente también es otro recordatorio de que la seguridad de Mac no es de hierro fundido, una creencia que algunos todavía tienen, pero que se está erosionando rápidamente en estos días.

  • La mejor Mac para comprar en 2016: las mejores iMacs, MacBooks y más de Apple