Mega Security Update da Apple
Apple ha rilasciato un impressionante gruppo di update per la sicurezza per Mac OS X e per numerose altre applicazioni, che vanno a fissare un totale di 39 differenti vulnerabilità in vari diversi programmi come QuickTime e MobileMe.
La compagnia nel frattempo ha rilasciato anche l'ultima versione del suo sistema operativo, OS X 10.6.8.
Uno dei bug più seri che vengono risolti dal rilascio delle nuove patch è una vulnerabilità nella policy di verifica dei certificati in OS X, che regola la gestione dei certificati digitali. La vulnerabilità potrebbe consentire ad un attaccante, che avesse già ottenuto diritti limitati nel sistema, di intercettare le credenzieli dell'utente ed altri dati sensibili.
Apple ha spiegato il problema con parole non proprio accessibili ai non addetti ai lavori: "C'era un errore di gestione nella Certificate Trust Policy. Se un certificato Extended Validation (EV) non dispone di un URL OCSP, ed il check CRL è attivato, il CRL non verrà verificato e un certificato revocato potrebbe essere accettato come valido. Questo problema è mitigato dal fatto che la maggior parte dei certificati EV specificano un URL OCSP". Chiaro, no?
Le patch riguardano anche cinque diverse vulnerabilità in QuickTime, una delle applicazioni più usate del web, visto che si tratta del media player di default per molti utenti di OS X. Tutte le vulnerabilità fissate in QT potrebbero essere utilizzate da un attaccante per lanciare codice malevolo sulle macchine da remoto.
Altre otto diverse problematiche risolte riguardano l'implementazione di MySQL in OS X. L'applicazione, fornita con OS X Server, aveva diversi bug che potevano essere utilizzate per l'esecuzione di codice remoto. Ancora altre cinque vulnerabilità sono state individuate e risolte nell'implementazione di OpenSSL, mentre altre patch riguardano MobileMe, l'App Store e ancora altre applicazioni.
Notate anche voi come i bollettini di Apple somiglino sempre più a quelli di Microsoft? Come cambiano i tempi!
- [19/06/11] WebKit, problema cross-platform
- [18/02/10] Vulnerabilità XSS su Google Buzz!!
- [03/10/06] Apple patcha altre vulnerabilità di Mac OS X
- [05/04/05] C'è una fessura per spioni in Firefox
- [16/07/04] Anche McAfee lancia protezione per difendersi da M$