Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu Sparkle i koordynował proces ujawniania informacji.
Podatność CVE-2025-10015: Framework Sparkle zawiera usługę XPC Downloader.xpc, która domyślnie jest dostępna tylko dla aplikacji, z którą została zintegrowana. Lokalny, nieuprzywilejowany atakujący może zarejestrować tę usługę globalnie, dzięki czemu odziedziczy ona uprawnienia TCC aplikacji. Brak walidacji klienta łączącego się z usługą pozwala atakującemu kopiować pliki chronione przez TCC do dowolnej lokalizacji. Dostęp do innych zasobów, poza dotychczas przyznanymi uprawnieniami, wymaga interakcji użytkownika z systemowym monitem proszącym o zgodę.
Podatność CVE-2025-10016: Framework Sparkle zawiera narzędzie Autoupdate. Z powodu braku uwierzytelniania klientów łączących się z usługą, lokalny nieuprzywilejowany atakujący może zażądać instalacji złośliwego pliku PKG, ścigając się o połączenie z usługą Autoupdate w momencie, gdy inna aplikacja uruchamia go z uprawnieniami roota. Skutkuje to lokalnym eskalowaniem uprawnień do poziomu roota. Możliwe jest również manualne uruchomienie Autoupdate dzięki usługi XPC Installer. Wymaga to jednak, aby ofiara wprowadziła dane uwierzytelniające w systemowym oknie autoryzacji, które może zostać zmodyfikowane przez atakującego.
Oba problemy zostały usunięte w wersji 2.7.2
Podziękowania
Za zgłoszenie podatności dziękujemy Karolowi Mazurkowi z Afine Team.
