Исследователь Радослав Карпович (Radoslaw Karpowicz) обнаружил, что использование фреймворка Sparkle Updater представляет угрозу для пользователей OS X. Процесс обновления приложений, использующих Sparkle Updater, нельзя считать безопасным.
Sparkle Updater – популярный компонент множества приложений, он позволяет разработчикам значительно упростить процесс обновления: пользователям не приходится проверять обновления вручную. Уязвимость кроется не в коде фреймворка, проблема в том, что разработчики часто забывают правильно его настроить, в результате чего Sparkle Updater во многих случаях использует HTTP вместо HTTPS.
Карпович выяснил, что в случае автоматической проверки обновлений, информация часто передается через HTTP. Этим страдают такие популярные программы как Adium, Coda, iTerm, Facebook Origami, Pixelmator, SequelPro, Tunnelblick и VLC. Исследователь пишет, что, скорее всего, уязвимых приложений гораздо больше, а он протестировал только первое пришедшее на ум.
Использовав простую man-in-the-middle атаку, Карпович сумел перехватить запрос AppCast сервера об апдейте и подменил XML-сообщение вредоносным кодом. Так как Sparkle Updater использует для обработки информации в XML-файлах компонент WebView, исследователь сумел добиться от удаленной машины исполнения произвольного кода, полученного в XML-сообщении. Теоретически, такая атака может привести к полной компрометации системы злоумышленником.
Также Карповичу удалось заставить локальную систему выделить процессу обновления куда больше памяти, чем требовалось на самом деле, что привело к возникновению квази-DoS состояния. Кроме того, исследователь смог провести XXE (XML External Entity) атаку, что дало ему доступ к некоторым локальным файлам.
Опубликована информация о двух схожих уязвимостях в 7-Zip — возможность выхода за пределы рабочего каталога, которую злоумышленники могут использовать для удаленного выполнения вредоносного кода.
Согласно описанию, проблемы CVE-2025-11001 и CVE-2025-11002 (по 7 баллов CVSS) возникли из-за некорректной обработки симлинков в архивных файлах.
Эксплойт проводится с помощью вредоносного ZIP, который жертва должна открыть. В случае успеха автор атаки сможет перезаписать любой файл в системе или подменить DLL, которую использует привилегированная служба.
Патчи включены в состав сборки 25.00. Пользователям 7-Zip рекомендуется как можно скорее обновить продукт или как минимум запретить автоматическую распаковку архивных файлов.
Минувшим летом были обнародованы еще две уязвимости в 7-Zip: возможность записи за границей буфера и разыменование null-указателя. Обе позволяют вызвать состояние отказа в обслуживании (DoS) и менее опасны.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
