Un fallo de seguridad pone en peligro muchas aplicaciones del sistema de Apple OS X que utilizan Sparkle

El error instala un código malicioso en el ordenador y afecta tanto a los que tengan la versión de El Capitan instalada como a los de Yosemite.

Un fallo de seguridad pone en peligro muchas aplicaciones del sistema de Apple OS X que utilizan Sparkle
Los atacantes pueden manipular el tráfico de datos de la actualización entrando en la señal de internet que se está usando e introducir código malicioso en la comunicación establecida. | Imagen: Apple.

Muchas aplicaciones para OS X, el sistema operativo de escritorio de Apple, son susceptibles a ataques man-in-the-middle, que instalan código malicioso en el ordenador debido a un fallo de seguridad. El número exacto de las aplicaciones afectadas no se conoce, pero sí que se sabe que es debido a que usan una versión vulnerable de Sparkle, un framework o infraestructura digital de terceros muy popular para la actualización de software.

El fallo afecta tanto a los ordenadores con la versión de El Capitan instalada como a los de Yosemite, tal y como indica el ingeniero de seguridad de Vulnsec, conocido como Radek, que ha descubierto el problema.

Las aplicaciones que pueden encontrarse inseguras son aquellas que utilizan la versión de Sparkle con problemas unida a un canal HTTP no encriptado cuando se va a actualizar el software con la información procedente de los servidores destinados a ello.

El error está en la manera en que Sparkle interactúa con ciertas funciones de WebKit, el medio para la creación de aplicaciones basadas en navegadores, que permite la ejecución de JavaScript.

Los atacantes pueden manipular el tráfico de datos de la actualización entrando en la señal de internet que se está usando e introducir código malicioso en la comunicación establecida.

El motivo por el que no se conoce el número exacto de softwares afectados es porque es difícil detectar que se cumplen todas las condiciones. Radek señala que, aún así, se trata de una cifra elevada y, tal y como recogen en el portal Ars Technica en base a las declarciones de otro investigador en seguridad, Jonathan Zdziarski, algunas de las aplicaciones confirmadas son: Camtasia 2 v2.10.4, DuetDisplay v1.5.2.4, uTorrent v1.8.7, Sketch v.3.5.1 o VLC.

Las actualizaciones del sistema operativo OS X no se encuentran afectadas por el problema, por lo que los usuarios pueden seguir descargando las últimas versiones del mismo, y de las aplicaciones de la App Store, sin problemas.

Ya somos 190.676