Zwar stellt der Mac AppStore die vermutlich komfortabelste Möglichkeit dar, Software auf seinem Mac zu installieren - in jedem Fall aber ist es die sicherste. Problematisch sind für viele Entwickler jedoch die Beschränkungen, die ihnen Apple auferlegt, sobald sie ihre Produkte auf diesem Wege anbieten wollen. Daher gibt es nicht wenige weitverbreitete Apps, die eben nicht über den Mac AppStore, sondern auf eigenen Vertriebskanälen angeboten werden. Genau bei solchen Apps ist nun jedoch eine gravierende Sicherheitslücke bekannt geworden, mit der es einem Angreifer möglich ist, einen Man-in-the-Middle Angriff durchzuführen. Schuldig ist hieran das von vielen Entwicklern für einen automatischen Update-Mechanismus eingesetzte Framework Sparkle. Wird dieses in einer nicht auf dem aktuellsten Stand befindlichen Version eingesetzt und erfolgt die Datenübertragung unverschlüsselt, kann sich ein Angreifer zwischen die Software und den Update-Server klemmen und auf diese Weise Schadcode einschleusen oder Daten abfangen. Die Gefahr besteht allerdings nur, wenn man die Updates wie erwähnt über eine ungesicherte Verbindung, beispielsweise in einem öffentlichen WLAN eines Cafés etc. lädt. Es empfiehlt sich also, Updates nur über die heimische Internetverbindung zu laden und evtl. bestehende automatische Update-Optionen zu deaktivieren.
Eine der populärsten Apps, die auf Sparkle setzt, ist der weit verbreitete VLC-Player, der inzwischen in einer entsprechend aktualisierten Version geladen werden kann. Doch auch weitere Anwendungen, darunter so beliebte Apps wie Camtasia 2, DuetDisplay oder Sketch verwenden Sparkle und sollten schnellstmöglich auf die neueste Version aktualisiert werden. Die Sparkle-Entwickler pflegen auf GitHub eine Liste der Anwendungen, die auf das Framework bauen. Hier kann man sich über etwaige Gefährdungen der auf dem heimischen Mac laufenden Programme informieten. (via ArsTechnica)