&tldr; 是什么阻止我们用新的 Sparkle.framework 替换旧的 Sparkle.framework?
Sparkle是 Mac OS X 应用程序中常用来管理更新的框架。最近,有人报告了中间人攻击的漏洞;而且,由于大量使用 Sparkle 的知名应用程序,世界各地的 IT 经理开始失眠。
据报道,一些受影响的应用程序,如 VLC,已经发布了修复程序。然而,由于 Sparkle 已经存在了这么久,可能还有许多其他应用程序不再积极开发,但仍然容易受到相同问题的影响。我们已经遇到过一种这样的应用程序。
由于 Sparkle.framework 是一个运行时框架,因此在应用程序包中用较新的 (1.13.1) 代码替换旧的(在许多情况下为 1.5 或 1.6)代码将允许应用程序在许多案例。到目前为止,我们的轻量级测试是令人鼓舞的二对二(这意味着,应用程序可以启动,并且会检查更新);但是,虽然对乐观主义者来说是鼓舞人心的,但这绝不是一个全面的答案。
那么,联系专业人士——用最新版本替换应用程序包中旧版本的 Sparkle.framework 有哪些缺点(或障碍)?这实际上是否可以在等待所有受影响的应用程序更新时减轻漏洞。
答案可能会有所不同,具体取决于当前使用的 Sparkle 版本,以及哪个版本支持哪些函数调用。这还取决于新版本的 Sparkle 中是否已弃用任何功能,这是我不知道的。