Ouvrir le menu principal

MacGeneration

Recherche

De nombreuses applications Mac vulnérables à cause du framework Sparkle

Stéphane Moussie

mercredi 03 février 2016 à 16:25 • 17

Logiciels

Sparkle est un composant extrêmement répandu dans les logiciels Mac distribués en dehors du Mac App Store. C'est ce framework qui vous avertit automatiquement quand une mise à jour est disponible et qui vous permet de l'installer en un clic.

Un chercheur en sécurité s'est récemment aperçu que Sparkle contenait deux vulnérabilités. La première est que la connexion avec les serveurs de l'éditeur se fait par défaut en HTTP, alors que le HTTPS devrait être privilégié pour éviter les attaques man in the middle. Cela signifie qu'une mise à jour peut être interceptée et modifiée par un malandrin avant d'être distribuée à l'utilisateur.

La deuxième vulnérabilité, plus compliquée à exploiter, est un risque d'exécution de code arbitraire à distance en abusant du composant WebView.

Sparkle a d'ores et déjà été mis à jour (version 1.13.1) pour corriger ces vulnérabilités. La balle est maintenant dans le camp des développeurs pour mettre à jour aussi vite que possible le framework dans leurs applications.

Les réglages de mise à jour automatique dans Coda 2

En attendant, le chercheur recommande de désactiver l'option de recherche automatique de mise à jour qui est généralement disponible dans les préférences des applications. Mais cela signifie qu'il faut donc aller vérifier par soi-même la disponibilité de mises à jour sur le site de l'éditeur.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Nos conseils pour acheter des produits Apple à prix réduit

18:51

• 3


Le métro parisien de nouvelle génération rajeunit l'USB-A

16:30

• 73


De nouveaux problèmes de compatibilités entre macOS Sequoia et Microsoft Exchange ?

15:00

• 16


Sosh : le forfait 20 Go en Série limitée va augmenter sauf refus de votre part

12:40

• 60


Western Digital divorce de SanDisk (et veut fabriquer des disques de 100 To)

11:00

• 17


Arm vendrait son premier processeur clé en main à Meta

10:07

• 3


Incogni : on l'a testé, notre bilan après 12 mois d'utilisation 📍

09:55


Spotify lancerait en 2025 une option payante pour les super fans de musique

09:32

• 30


Des écrans, mais surtout des robots humanoïdes. Futur joyeux ou apocalyptique ? La semaine de Gurman

16/02/2025 à 20:30

• 31


Promo : le MacBook Air M3 16 Go à 1099 € (+ une cagnotte de 109 € chez Leclerc)

16/02/2025 à 18:16

• 20


Easter Egg : quand Apple cache des petites blagues dans ses produits

16/02/2025 à 10:00

• 17


Plans commence à rebaptiser le Golfe du Mexique 🆕

16/02/2025 à 09:45

• 170


Avec visionOS 2.4, le Vision Pro devrait s'ouvrir à Apple Intelligence

16/02/2025 à 09:01

• 26


DockKit, la technologie Apple dont vous ignorez probablement l'existence, s'améliore encore

15/02/2025 à 12:37

• 12


Sortie de veille : le premier produit Apple de l’année fait-il battre notre cœur ?

15/02/2025 à 08:00

• 12


iPhone SE 4 : les chiffres de vente devraient cartonner, selon Ming Chi-Kuo

15/02/2025 à 07:30

• 52