Ouvrir le menu principal

MacGeneration

Recherche

De nombreuses applications Mac vulnérables à cause du framework Sparkle

Stéphane Moussie

mercredi 03 février 2016 à 16:25 • 17

Logiciels

Sparkle est un composant extrêmement répandu dans les logiciels Mac distribués en dehors du Mac App Store. C'est ce framework qui vous avertit automatiquement quand une mise à jour est disponible et qui vous permet de l'installer en un clic.

Un chercheur en sécurité s'est récemment aperçu que Sparkle contenait deux vulnérabilités. La première est que la connexion avec les serveurs de l'éditeur se fait par défaut en HTTP, alors que le HTTPS devrait être privilégié pour éviter les attaques man in the middle. Cela signifie qu'une mise à jour peut être interceptée et modifiée par un malandrin avant d'être distribuée à l'utilisateur.

La deuxième vulnérabilité, plus compliquée à exploiter, est un risque d'exécution de code arbitraire à distance en abusant du composant WebView.

Sparkle a d'ores et déjà été mis à jour (version 1.13.1) pour corriger ces vulnérabilités. La balle est maintenant dans le camp des développeurs pour mettre à jour aussi vite que possible le framework dans leurs applications.

Les réglages de mise à jour automatique dans Coda 2

En attendant, le chercheur recommande de désactiver l'option de recherche automatique de mise à jour qui est généralement disponible dans les préférences des applications. Mais cela signifie qu'il faut donc aller vérifier par soi-même la disponibilité de mises à jour sur le site de l'éditeur.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

macOS Snow Sequoia : une fausse bonne idée ?

10:00

• 53


DEVONthink 4 fait une place pour les intelligences artificielles génératives

08:00

• 22


Concours : un NAS Qnap TS-233 équipé de 2 disques WD Red 6 To à gagner !

05/04/2025 à 13:00

• 687


Nintendo retarde les précommandes de la Switch 2 aux États-Unis, à cause de Donald Trump

05/04/2025 à 10:51

• 64


Silence : une application pour bloquer les appels indésirables sans abonnement

05/04/2025 à 10:47

• 103


Sortie de veille : Apple Intelligence finalement dispo, l’attente récompensée ?

05/04/2025 à 08:00

• 14


L’administration Trump aurait-elle utilisé l’IA pour créer la formule des nouvelles taxes ?

04/04/2025 à 22:30

• 45


Promo : l'écran 4K LG UltraFine 32 avec une colonne ERGO est à 423 € (-250 €)

04/04/2025 à 22:30

• 30


Donald Trump accorde un délai supplémentaire de 75 jours à TikTok

04/04/2025 à 21:45

• 19


N'attendez pas Linux sur les M4 de sitôt : c'est visiblement douloureusement compliqué

04/04/2025 à 18:30

• 35


Microsoft a 50 ans

04/04/2025 à 17:39

• 51


Apple déploie l'audio spatial en Dolby Atmos sous Windows (mais il faut payer)

04/04/2025 à 17:00

• 13


MacBook Air : nouvelle promo sur le M4, le M2 encore au tarif canon de 899 €

04/04/2025 à 15:48

• 9


Pages ne sait plus publier un livre directement sur Apple Books

04/04/2025 à 14:45

• 9


Microsoft vend son mini PC dans le cloud, pour Windows 365

04/04/2025 à 13:15

• 23


Le SSD USB4 Corsair EX400U, parfait pour les Mac et les iPhone, en promotion

04/04/2025 à 11:45

• 11