Vulnérabilités de Sparkle : les apps se mettent à jour petit à petit

Stéphane Moussie |

Un chercheur en sécurité a récemment découvert que Sparkle, un composant très répandu dans les logiciels disponibles en dehors du Mac App Store qui sert à distribuer automatiquement les mises à jour, contenait deux vulnérabilités. Les risques sont relativement limités, puisque le malandrin doit se trouver sur le même réseau Wi-Fi ouvert que sa cible pour l'une des deux failles, mais ils existent tout de même.

Sparkle a rapidement été corrigé, mais pour que les utilisateurs soient protégés, les développeurs doivent intégrer sa nouvelle version à leur application. Ajoutez le fait que le chercheur à l'origine de la découverte recommande de ne pas mettre à jour automatiquement ses applications tant qu'elles n'ont pas Sparkle 1.13.1, et les choses deviennent compliquées. Il faut alors vérifier par soi-même la disponibilité de mises à jour sur les sites des éditeurs.

Nous avons repéré plusieurs applications qui ont d'ores et déjà été mises à jour avec Sparkle 1.13.1 :

La liste est certainement loin d'être exhaustive. Si vous avez remarqué d'autres logiciels maintenant immunisés, n'hésitez pas à les indiquer dans les commentaires.

Pour savoir quelles sont vos applications intégrant Sparkle et quelle version est utilisée, tapez cette ligne de commande dans le Terminal :

find /Applications -path '*Autoupdate.app/Contents/Info.plist' -exec echo {} \; -exec grep -A1 CFBundleShortVersionString '{}' \; | grep -v CFBundleShortVersionString

Cliquer pour agrandir
avatar KillerDeMouches | 

A noter que les versions antérieures à Sparkle 1.13.1 ne sont vulnérables que si HTTP (et non HTTPS) est utilisé pour le feed appcast ou les descriptifs de nouveautés. Si l'application utilise HTTPS partout, Spakle n'est pas vulnérable.

avatar Sushiwa | 

Chez moi VLC 2.2.2 utilise la version 1.6 (?)

avatar Stéphane Moussie | 

@Sushiwa : oui j'ai remarqué ça aussi. Mais à part cette petite bizarrerie la commande est bien pratique.

avatar Fanagame | 

Tunnelblick (client Open VPN) a aussi été mis à jour !

avatar FrançoisMacG | 

A Better Finder Attributes est passé en version 5.36 pour couvrir la faille.

C'est drôle de voir Malwarebytes anti-Malware et DetectX concernés par la faille !

avatar Ginger bread | 

Tjr en attente pr Winclone

avatar joneskind | 

C'est pas très cool pour ImageOptim tout ça !

avatar Arseur | 

BetterTouchTool a été mis-à-jour. Il vient par ailleurs de passer payant :(

avatar Link1993 | 

@Arseur :
Ca fait déjà un mois je crois :(

avatar mafieud41 | 

TrimEnable mis à jours également.

avatar BitNic | 

BlueHarvest Màj en 6.3.6

avatar aldomoco | 

...pour aller plus vite il faudrait faire appel à Sparkle et Hutch !

avatar Timiho | 

Toute la famille DEVONthink (Personal, Pro, Pro Office) a été mise à jour en 2.8.9 :-)

avatar scanmb | 

@aldomoco
Les fameux Spaarklllle & Hutch . Na na na na na na naaaa !!!!
C'est eux ?

avatar Mr Eddy (non vérifié) | 

Spectacle aussi est concerné mais pas encore mis à jour...

avatar Switcher | 

- TeamViewer
- StuffIt
- BTT
- CyberDuck
... et VLC mis à jour chez moi.

avatar JeevesGre | 

Et accessoirement:
- AppCleaner,
- Audirvana Plus,
- Bartender 2,
- Default Folder X,
- Fantastical 2,
- GeekTool,
- Monolingual,
- Numi 3, mais pas Numi 2 …

avatar Mr Eddy (non vérifié) | 

Spectacle mis à jour vers 1.0.2

CONNEXION UTILISATEUR