&tldr; 什麼阻止我們用新的Sparkle.framework替換舊的Sparkle.framework?用更新版本替換Sparkle安全嗎
Sparkle是Mac OS X應用程序中用於管理更新的常用框架。最近有報道稱中間人攻擊的vulnerability;由於衆多使用Sparkle的知名應用程序,全球IT經理們開始失眠。據報道,一些受影響的應用程序(如VLC)已經發布了修復程序。但是,由於Sparkle已經存在了很長時間,有很多其他應用程序不再積極開發,但它們仍然容易受到同樣的問題。我們已經遇到過這樣一個應用程序。
因爲Sparkle.framework是一個運行時框架,所以理由是在應用程序捆綁包中用較新的(1.13.1)代碼替換舊的(在許多情況下爲1.5或1.6)代碼將允許應用程序在很多情況下運行。到目前爲止,我們的輕度測試對於兩個人來說是令人鼓舞的兩個(意思是,應用程序可以開始,並且會檢查更新);但在鼓勵樂觀主義者的同時,這絕不是一個全面的答案。
因此,接觸到專業人員 - 在最新版本的應用程序包中替換舊版Sparkle.framework的缺點(或障礙)是什麼?這是否可以在等待所有受影響的應用程序更新時減輕漏洞?
根據當前使用的Sparkle的版本以及哪個版本支持哪些函數調用,答案可能會改變。這也取決於是否有任何函數在Sparkle的新版本中被棄用,這是我不知道的。
有沒有弊端;舊版本的Sparkle.framework應該被替換,或者至少在沒有使用的情況下切換到https。 –
原始問題可能還不夠清楚;但是,我指的是在已下載的應用中替換Sparkle.framework,而不是在我們正在開發的應用中。 – Kent