對於所有不了解Sparkle的人,只需澄清一下它是什麼 一個框架 由更新程序中的某些第三方應用程序用來定期更新到新版本。 但是,已經發現由於最近發現的漏洞,該框架的較舊版本可能潛在地不安全。
在本週的星期二,影響從Internet下載的某些應用程序的安全性問題曝光了,幸運的是,或者發生在從Mac App Store下載的內容中 由於顯而易見的原因,因為後者是使用商店的安全網絡通過商店本身進行更新的。 問題的根源似乎在於更新時缺少加密和安全的連接,這可能為 中間人攻擊.
現在的問題是哪些應用程序受到影響? 儘管我們無法事先知道哪些應用程序使用此框架,但在GiHub中 列表已創建 與用戶正在開發的應用程序一起開發,包括不安全的更新程序版本以及 可能容易發作,這至少使我們對我們的團隊是否會受到影響有一個普遍的看法。
由於其中許多應用程序都是他們只使用Sparkle作為框架 進行更新,但這並不意味著它們都受此漏洞的影響,僅受那些使用過時版本的漏洞的影響,因為它們通過HTTP通道而不是HTTPS搜索。
保護自己不受此漏洞影響的最簡單方法是,如果我們被告知有新更新, 不要繼續直接下載 從更新程序,但我們可以直接轉到開發人員的網站並手動手動下載它,這樣我們就可以避免煩惱,直到我們確定該應用程序不受影響為止。
嘗試查詢未在GiHub 404頁面中受影響的應用程序列表時,該鏈接給出錯誤
查看受影響的應用程序列表的鏈接不起作用
更正了鏈接。 謝謝你的提醒。