Vulnérabilités de Sparkle : les apps se mettent à jour petit à petit
Un chercheur en sécurité a récemment découvert que Sparkle, un composant très répandu dans les logiciels disponibles en dehors du Mac App Store qui sert à distribuer automatiquement les mises à jour, contenait deux vulnérabilités. Les risques sont relativement limités, puisque le malandrin doit se trouver sur le même réseau Wi-Fi ouvert que sa cible pour l'une des deux failles, mais ils existent tout de même.
Sparkle a rapidement été corrigé, mais pour que les utilisateurs soient protégés, les développeurs doivent intégrer sa nouvelle version à leur application. Ajoutez le fait que le chercheur à l'origine de la découverte recommande de ne pas mettre à jour automatiquement ses applications tant qu'elles n'ont pas Sparkle 1.13.1, et les choses deviennent compliquées. Il faut alors vérifier par soi-même la disponibilité de mises à jour sur les sites des éditeurs.
Nous avons repéré plusieurs applications qui ont d'ores et déjà été mises à jour avec Sparkle 1.13.1 :


La liste est certainement loin d'être exhaustive. Si vous avez remarqué d'autres logiciels maintenant immunisés, n'hésitez pas à les indiquer dans les commentaires.
Pour savoir quelles sont vos applications intégrant Sparkle et quelle version est utilisée, tapez cette ligne de commande dans le Terminal :
find /Applications -path '*Autoupdate.app/Contents/Info.plist' -exec echo {} \; -exec grep -A1 CFBundleShortVersionString '{}' \; | grep -v CFBundleShortVersionString

A noter que les versions antérieures à Sparkle 1.13.1 ne sont vulnérables que si HTTP (et non HTTPS) est utilisé pour le feed appcast ou les descriptifs de nouveautés. Si l'application utilise HTTPS partout, Spakle n'est pas vulnérable.
Chez moi VLC 2.2.2 utilise la version 1.6 (?)
@Sushiwa : oui j'ai remarqué ça aussi. Mais à part cette petite bizarrerie la commande est bien pratique.
Tunnelblick (client Open VPN) a aussi été mis à jour !
A Better Finder Attributes est passé en version 5.36 pour couvrir la faille.
C'est drôle de voir Malwarebytes anti-Malware et DetectX concernés par la faille !
Tjr en attente pr Winclone
C'est pas très cool pour ImageOptim tout ça !
BetterTouchTool a été mis-à-jour. Il vient par ailleurs de passer payant :(
@Arseur :
Ca fait déjà un mois je crois :(
TrimEnable mis à jours également.
BlueHarvest Màj en 6.3.6
...pour aller plus vite il faudrait faire appel à Sparkle et Hutch !
Toute la famille DEVONthink (Personal, Pro, Pro Office) a été mise à jour en 2.8.9 :-)
@aldomoco
Les fameux Spaarklllle & Hutch . Na na na na na na naaaa !!!!
C'est eux ?
Spectacle aussi est concerné mais pas encore mis à jour...
- TeamViewer
- StuffIt
- BTT
- CyberDuck
... et VLC mis à jour chez moi.
Et accessoirement:
- AppCleaner,
- Audirvana Plus,
- Bartender 2,
- Default Folder X,
- Fantastical 2,
- GeekTool,
- Monolingual,
- Numi 3, mais pas Numi 2 …
Spectacle mis à jour vers 1.0.2