Numrush

Groot deel software Macs is kwetsbaar tijdens downloaden updates

Veel applicaties voor Apple-computers zijn onveilig op het moment dat je ze updatet. Dat komt door een kwetsbaarheid in Sparkle, een tool die veel ontwikkelaars gebruiken voor het updaten van hun software. Het geeft kwaadwillenden de mogelijkheid om de verbinding tussen de computer en de server te manipuleren en op die manier bijvoorbeeld kwaadaardige software te installeren op een Mac. Dat schrijft arstechnica.

Het risico is overigens wel beperkt. De update moet namelijk via een onbeveiligde verbinding met de server lopen, terwijl een deel van de ontwikkelaars kiest voor een beveiligde verbinding. Daarnaast moet een hacker toegang hebben tot de internetverbinding van de gebruiker om in te breken op die onbeveiligde verbinding. Dit is bijvoorbeeld het geval als je gebruikt van een open wifi verbinding. Als je je software gewoon netjes update op een beveiligde wifi-verbinding is, hoef je je dus al te veel zorgen te maken.

Het lek zit voor de duidelijkheid niet in OSX zelf en het risico doet zich alleen voor als apps (die gebruik maken van Sparkle) worden geüpdatet. Om het probleem op te lossen moeten ontwikkelaars een nieuwe versie van Sparkle gaan gebruiken en vervolgens een update van hun app aanbieden. Elke app met Sparkle moet dus afzonderlijk (en met het theoretische risico dat er op dat moment misbruik wordt gemaakt van de kwetsbaarheid) worden geüpdatet. Het gevaar is dan ook niet in één keer geweken.