被害甚大?多くのMacアプリで利用されている自動更新機能「Sparkle」の脆弱性が発見される

NewImage

Macアプリの自動更新機能を提供するフレームワーク「Sparkle」に脆弱性が発見され、懸念を集めています(Ars TechnicaMacRumors9to5Mac)。

SparkleはMac App Store以外で提供されているMacアプリに自動更新機能を実装するためのフレームワークで、amtasiaやDuet Display、uTorrent、Sketch、VLC (ただし最新版では修正済み)といった著名なアプリでも採用されています。

今回発見された問題は、脆弱性の存在するSparkleと平文HTTP通信を組み合わせた場合に発動し、攻撃者は中間者攻撃によって悪質なコードをエンドユーザーに送り込むことが可能となります。

上のコンセプト動画ではSequel Proのソフトウェアアップデート実行時に、悪質なコードを送り込むことに成功しています。

現在GitHubにてSparkleを使用しているアプリの一覧が纏められていますが、どのアプリが脆弱性の存在するSparkleを使用しているのか、またHTTPSではなくHTTPで通信を行っているのかまでは明かではありません。

Sparkle自体の脆弱性は最新1.13.1で修正されていますが、アプリケーションに組み込まれたSparkleが更新されるには、アプリケーションの作者が更新版をリリースするのを待つしかありません。Ars Technicaは当面の間、特に安全が確保されないWi-Fiネットワーク等でこれらアプリのインストールするのを避けるよう推奨しています。

スポンサーリンク