Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu Sparkle i koordynował proces ujawniania informacji.

Podatność CVE-2025-10015: Framework Sparkle zawiera usługę XPC Downloader.xpc, która domyślnie jest dostępna tylko dla aplikacji, z którą została zintegrowana. Lokalny, nieuprzywilejowany atakujący może zarejestrować tę usługę globalnie, dzięki czemu odziedziczy ona uprawnienia TCC aplikacji. Brak walidacji klienta łączącego się z usługą pozwala atakującemu kopiować pliki chronione przez TCC do dowolnej lokalizacji. Dostęp do innych zasobów, poza dotychczas przyznanymi uprawnieniami, wymaga interakcji użytkownika z systemowym monitem proszącym o zgodę.

Podatność CVE-2025-10016: Framework Sparkle zawiera narzędzie Autoupdate. Z powodu braku uwierzytelniania klientów łączących się z usługą, lokalny nieuprzywilejowany atakujący może zażądać instalacji złośliwego pliku PKG, ścigając się o połączenie z usługą Autoupdate w momencie, gdy inna aplikacja uruchamia go z uprawnieniami roota. Skutkuje to lokalnym eskalowaniem uprawnień do poziomu roota. Możliwe jest również ręczne uruchomienie Autoupdate za pomocą usługi XPC Installer. Wymaga to jednak, aby ofiara wprowadziła dane uwierzytelniające w systemowym oknie autoryzacji, które może zostać zmodyfikowane przez atakującego.

Oba problemy zostały usunięte w wersji 2.7.2

Podziękowania

Za zgłoszenie podatności dziękujemy Karolowi Mazurkowi z Afine Team.