Sparkle

Sparkle är ett programmeringsramverk som används av utvecklare för att ge Macprogram en smidig uppdateringsfunktion. När ett program plötsligt meddelar att det finns en uppdatering och sköter den automatiskt direkt i programmet är det oftast Sparkle som ligger bakom.

Nu har säkerhetsforskaren Radek upptäckt en säkerhetsbrist i alla tidigare versioner av Spark än den senaste, som gör det möjligt att ta kontroll över en dator på samma nätverk.

Buggen utnyttjar det faktum att Sparkle tidigare tillät kopplingar över http (och inte bara https), samt dess hantering av javascript via ramverket webkit.

Drabbade program är till exempel Camtasia, Duetdisplay och Sketch. Gamla versioner av VLC var också drabbade, men programmet uppdaterades i veckan med senaste versionen av Sparkle.

Apple använder inte Sparkle och program som uppdateras via App Store är alltså inte drabbade. Stora företag som Adobe och Microsoft har också oftast egna uppdateringsfunktioner.