Iphone itwda

一部のOS Xアプリに影響を与えるSparkleの脆弱性について知っておくべきこと

Milawo
Reading time: 8 minutes
0 Comments
Share
一部のOS Xアプリに影響を与えるSparkleの脆弱性について知っておくべきこと

Sparkle Updater インターフェースの例

インターネットからダウンロードされ、Sparkle アップデータ フレームワークの古いバージョンを使用している OS X 用のさまざまなサードパーティ アプリに影響を及ぼす新しい脆弱性が発見されました。

この新たな脆弱性により、影響を受けるサードパーティ製アプリが古いフレームワークを使用してユーザーに新しいアプリのアップデートを通知しようとしたときに、そのアプリの多くのユーザーが乗っ取られる危険にさらされることになります。

誰が影響を受けるのでしょうか?

vulnsec.com で Radek というセキュリティ エンジニアが指摘しているように、この問題はMac App Store を通じてアップデートされるアプリには影響しませんが、インターネットからダウンロードされ、ユーザーが手動でインストールし、古いバージョンの Sparkle アップデータ フレームワークを使用してバックグラウンドで定期的に自動的にアップデートをチェックする多数のサードパーティ アプリに影響します。

最近、様々なアップデート戦略に関する調査を行っており、Mac OS Xで動作するアプリケーションをいくつかテストしました。この週末の短い調査で、多くの安全でないアプリケーションが実際に使用されていることが明らかになりました。その結果、攻撃者が同一ネットワーク上の別のコンピュータを(中間者攻撃(MITM)経由で)制御できる脆弱性を発見しました。

この脆弱性はコード署名自体にはありません。WebKitビューが提供する、JavaScriptの実行と暗号化されていないHTTPトラフィック(XMLレスポンス)の変更を可能にする機能に起因しています。

以下では、セキュリティ エンジニアが YouTube ビデオで脆弱性の仕組みを説明しています。

影響を受けるアプリには、Camtasia 2 (バージョン 2.10.4)、DuetDisplay (バージョン 1.5.2.4)、Sketch (バージョン 3.5.1)、uTorrent (バージョン 1.8.7) などがありますが、同じ安全でないアップデータ フレームワークを使用している他の多くのサードパーティ アプリも影響を受けます。

VLCメディアプレイヤーは最近この脆弱性の影響を受けましたが、アプリの最近のアップデート(バージョン2.2.2)でこの問題は修正されたと報告されています。Ars Technicaによると、この脆弱性はOS X YosemiteおよびOS X El Capitanを搭載したMacに影響します。

どのように機能しますか?

Sparkle アップデータ フレームワークの脆弱性は、本質的には中間者攻撃です。これは、ユーザーのマシンが暗号化されていない安全でない HTTP 接続を介して更新サーバーと通信しようとしているときに、悪意のあるハッカーが通信回線の真ん中に侵入し、ユーザーのコンピューターに本物ではなく悪意のあるソフトウェアをダウンロードさせる可能性がある攻撃です。

この問題はMac App Storeのアップデートメカニズムには影響しないため、サードパーティアプリ開発者はMac App Storeでアプリを公開するだけでこの問題を回避できます。サードパーティアプリ開発者が利用できるもう一つの選択肢は、アプリで使用されているSparkleアップデータフレームワークを、セキュリティ研究者によって発見された脆弱性の影響を受けない最新バージョンにアップデートすることです。

これはAppleがユーザーのシステムを保護するために容易に修正できる問題ではありませんが、AppleがOS Xのデフォルトのセキュリティ設定を非常に厳格にした理由の一つでもあります。例えば、GatekeeperはデフォルトでMac App Storeからのアプリのみをダウンロードできるように設定されています。これは、個々のサードパーティアプリ開発者が必要に応じてアプリをアップデートすることで、独自に修正する必要がある問題です。

自分を守るにはどうすればいいですか?

Sparkle アップデータ フレームワークのこの脆弱性から身を守るための最善のアドバイスは、アプリ更新のプロンプトが表示されたときに、更新ウィンドウ自体からアプリを更新するのではなく、アプリの Web サイトにアクセスして Web サイトから最新バージョンをダウンロードし、実際にダウンロードしようとしているものを確実にダウンロードできるようにすることです。

Mac App Store からアプリを更新しようとしている場合、この脆弱性は Mac App Store アプリには影響しないため、心配する必要はありません。

この問題が自社のアプリに影響していることを認識しているサードパーティのアプリ開発者は、ユーザーを保護するためにアプリを適宜アップデートする予定ですので、Mac で定期的に使用するアプリの Web ページでアップデートに注意してください。

お使いの OS X システムで、影響を受けるアプリをお使いですか?ぜひ下のコメント欄でご意見をお聞かせください。

Milawo
Milawo is a contributing author, focusing on sharing the latest news and deep content.

Featured Recommendations

Fitbitの新しいアクティビティトラッキングFlexリストバンドが100ドルで発売

Fitbitの新しいアクティビティトラッキングFlexリストバンドが100ドルで発売

Milawo | itwda
iMessageを使って写真や動画を送信する方法

iMessageを使って写真や動画を送信する方法

Milawo | itwda
Commander One: Apple の Finder を凌駕する強力なデュアルペイン Mac ファイル マネージャー [スポンサー]

Commander One: Apple の Finder を凌駕する強力なデュアルペイン Mac ファイル マネージャー [スポンサー]

Milawo | itwda

You May Have Missed

Macでスクリプトエディタを使い始める方法

Macでスクリプトエディタを使い始める方法

Milawo | itwda
クアルコム、iPhoneなどのスマートデバイスに5Gを導入するための大きなハードルをクリア

クアルコム、iPhoneなどのスマートデバイスに5Gを導入するための大きなハードルをクリア

Milawo | itwda
iFixitがYouTubeでiPhone 11 Proの分解ライブ配信中

iFixitがYouTubeでiPhone 11 Proの分解ライブ配信中

Milawo | itwda
iOS 14.5ですべてのアプリのトラッキングをブロックしても、Apple自身がパーソナライズされた広告を配信することは止まらない

iOS 14.5ですべてのアプリのトラッキングをブロックしても、Apple自身がパーソナライズされた広告を配信することは止まらない

Milawo | itwda

Popular Articles

iFixitがYouTubeでiPhone 11 Proの分解ライブ配信中
iPhone 8のダミーにシャンパンゴールドの新色が登場か
RGB ExpressがAppleの今週のアプリとして無料に
AirPod(LまたはR)の片方がiPhone、iPad、Macに接続できない、または動作しない場合の対処法
iMessageを使って写真や動画を送信する方法

Content Categories

Iphone 23
Ipad 23
Airpods 23
Mac 23
Apps 23

Subscribe to Us

Get the latest articles and updates first