macOS: failles XPC dans Sparkle (CVE-2025-10015/10016) permettant TCC bypass et élévation de privilèges
Source: AFINE (billet technique de Karol Mazurek). Le billet analyse deux vulnérabilités dans le framework de mise à jour Sparkle sur macOS (CVE-2025-10015 et CVE-2025-10016), toutes deux dues à une absence de validation des clients XPC, montrant un impact en contournement TCC et en élévation de privilèges locale. Problème central: des services XPC de Sparkle établissent une confiance implicite sans vérifier l’identité du client. Cela permet à un processus local non privilégié d’exploiter des services existants avec des privilèges du binaire ciblé. Portée: découvert initialement via Ghostty.app, mais toute application embarquant Sparkle est potentiellement concernée. • CVE-2025-10015 — TCC bypass 🔓 ...