Alcune applicazioni di terze parti per Mac potrebbero essere esposte ad attacchi informatici, a causa di una recente vulnerabilità scoperta in Sparkle, un framework open-source utilizzato dai developer per gestire più facilmente le procedure di aggiornamento del software. Il problema, reso noto da Ars Technica, sarebbe già in via di risoluzione grazie a una patch, già inclusa nell’ultima versione di Sparkle nonché resa disponibile agli sviluppatori tramite GibHub.
Secondo quanto riferito da Ars Technica, un problema nell’implementazione del motore WebKit in Sparkle potrebbe garantire a malintenzionati l’accesso ai software, tramite l’esecuzione di codici JavaScript quando l’utente verifica la disponibilità di un aggiornamento per la propria applicazione preferita. Per essere efficace, però, l’attacco deve avvenire su connessioni HTTP prive di crittografia, affinché i malintenzionati possano dirottare le connessioni ai server ufficiali delle terze parti verso proprie risorse online, distribuendo così aggiornamenti software opportunamente modificati. La testata ha spiegato come l’exploit sia stato scoperto dall’ingegnere software chiamato Radak e, non ultimo, affliggerebbe alcune applicazioni popolari per OS X Yosemite e OS X El Capitan.
Una lista dei software coinvolti dalla vulnerabilità non è al momento disponibile, ma AppleInsider ha confermato alcune app famose, tra cui VLC. Va sottolineato, tuttavia, come il popolare e gettonato riproduttore video abbia fornito un aggiornamento risolutivo la scorsa settimana, di conseguenza gli utenti che già dispongono dell’ultima versione non dovrebbero imbattersi in alcun pericolo.
[embed_twitter]https://twitter.com/slashgear/status/697336776264802305[/embed_twitter]
Come già ricordato, la vulnerabilità è stata già risolta in Sparkle e, di conseguenza, gli sviluppatori che utilizzassero l’ultima versione dovrebbero essere esenti da conseguenze. In ogni caso, il fix è disponibile anche sulla piattaforma GitHub. Al momento, non sembra siano stati registrati effettivi casi d’attacco, per quella che potrebbe essere una vulnerabilità non ancora sfruttata da malintenzionati, in ogni caso si attendono futuri aggiornamenti per la risolutiva conclusione della problematica di sicurezza.