Video: 13 FUNZIONI NASCOSTE di iPhone che (forse) NON CONOSCI! (Novembre 2024)
Apple ha risolto una serie di gravi vulnerabilità in OS X, nel browser Web Safari e in una manciata di pacchetti di terze parti come parte di un aggiornamento sostanziale. Le patch sono disponibili su Aggiornamento software e gli utenti devono assicurarsi che le correzioni vengano applicate immediatamente.
Gli aggiornamenti, che interessano tutte le versioni supportate di OS X - Mountain Lion (10.8), Lion (10.7) e Snow Leopard (10.6) - e hanno chiuso diversi difetti di esecuzione del codice remoto nel sistema operativo e Safari, ha detto Apple nel suo advisory pubblicato ieri. Le patch hanno anche risolto i problemi di QuickTimes e l'implementazione OS X di OpenSSL e Ruby. I bug di Ruby sono attualmente sfruttati in natura.
Recentemente sono state identificate diverse vulnerabilità in Ruby on Rails, la più grave delle quali può comportare l'attacco remoto da parte di codice su sistemi che eseguono applicazioni Rails. Apple ha risolto otto distinte vulnerabilità aggiornando Ruby on Rails in OS X alla versione 2.3.18. Questo problema avrà probabilmente un impatto sui sistemi OS X Lion o OS X Mountain Lion che sono stati aggiornati da Mac OS X 10.6.8 o precedente, ha affermato Apple.
Correzioni di OS X.
Apple ha corretto diversi bug di esecuzione del codice remoto nel sistema operativo. Gli aggressori potrebbero sfruttare uno di questi difetti nel componente CoreAnimation, in cui tutto ciò che l'utente deve fare è cercare un URL pericoloso per essere compromesso. Un altro bug nel componente di riproduzione potrebbe essere sfruttato con un file di film pericoloso, ha detto Apple. Esistono quattro diverse patch per QuickTime che risolvono i difetti di esecuzione del codice remoto che potrebbero essere sfruttati da MP3, FPX, QTIF e altri file di film creati in modo pericoloso.
Un altro grave bug di esecuzione del codice remoto era nel componente Servizio directory, ma riguardava solo gli utenti con sistemi Snow Leopard che hanno abilitato il servizio. Il servizio di directory tiene traccia di tutte le informazioni di autenticazione dell'utente e del gruppo utilizzando varie piattaforme, tra cui Active Directory, LDAP, AppleTalk e condivisione di file SMB. Apple ha sostituito Diectory Service con Open Directory in Lion e Mountaion Lion.
Gli aggressori potrebbero sfruttare il difetto inviando un messaggio pericoloso sulla rete per causare il crash del server di directory o eseguire codice in remoto, Apple ha detto.
OpenSSL, Problemi di Safari
Apple ha risolto 13 problemi in OpenSSL, uno dei quali avrebbe consentito agli autori di attacchi di lanciare l'attacco CRIME, in cui un utente malintenzionato poteva decrittografare le sessioni protette con SSL. L'attacco di compressione su TLS 1.0 è stato sviluppato dai ricercatori di sicurezza Thai Duong e Juliano Rizzo.
Il nuovo Safari, versione 6.0.5, ha risolto 23 distinte vulnerabilità legate all'esecuzione di codice in modalità remota e tre difetti di scripting tra siti. I problemi erano tutti legati al motore WebKit che alimenta il browser.
"In WebKit esistevano numerosi problemi di corruzione della memoria", ha affermato Apple nel suo advisory.
Questi problemi espongono gli utenti Mac ad attacchi di navigazione tramite esplorazione e gli aggressori sarebbero in grado di eseguire il codice all'esterno del browser e direttamente sul sistema senza richiedere l'autorizzazione dell'utente. I bug di scripting tra siti consentono inoltre agli autori di attacchi di creare siti dannosi contenenti elementi da pagine legittime per indurre gli utenti a pensare che questi siti contraffatti siano affidabili.
Ottieni quell'aggiornamento
Gli utenti che utilizzano l'Aggiornamento software di Apple ottengono automaticamente l'aggiornamento corretto. Gli utenti che decidono di farlo manualmente dovranno prendere l'aggiornamento di OS X 10.8.4 (che include Safari 6.0.5) per Mountaion Lion e l'aggiornamento della sicurezza 2013-002 (che non include l'aggiornamento di Safari) per Snow Leopard e Lion sistemi. Si noti che Snow Leopard non ottiene la nuova versione di Safari in quanto è ancora su Safari 5.