QR code per la pagina originale

Leopard e il bug venuto dal passato

Una grave falla di sicurezza è stata scoperta in Mail, il programma di posta di Leopard: il bug consente l'esecuzione di codice maligno inviato come allegato da utenti malintenzionati. Un problema analogo aveva già colpito Tiger nel 2006

,

Nonostante la recente e cospicua serie di aggiornamenti per Leopard (Os X 10.5), continuano gli allarmi sulla sicurezza del nuovo sistema operativo Apple. Un bug presente in Mail, il programma di posta dei Mac, potrebbe consentire a un utente malintenzionato di inviare allegati potenzialmente pericolosi studiati per eseguire stringhe di codice maligno. Mail non sarebbe in grado di identificare e segnalare all’utente con una finestra di dialogo la potenziale pericolosità di questo tipo di file allegati, mascherati generalmente in formato JPG.

Il problema riscontrato in Mail è una vera e propria minaccia che giunge dal passato, almeno secondo Heise Security, che ricorda come un bug analogo fosse già stato corretto nel marzo del 2006 per Tiger (Os X 10.4), il precedente sistema operativo Apple. All’epoca, la patch per risolvere il problema di Mail faceva parte dell’aggiornamento Security Update 2006-001, in cui compariva la voce “Download Validation fails to warn about unsafe file types” (“Download Validation non segnala i file pericolosi”). Per motivi ancora sconosciuti, Apple non ha inserito un aggiornamento analogo nella serie di update rilasciati la settimana scorsa per il proprio sistema operativo.

Per verificare la falla di sicurezza in Mail, Heise Security ha svolto numerosi test creando allegati fittizi contenti stringhe di codice maligno. Nella maggior parte dei casi, l’apertura dei file allegati ha determinato l’apertura automatica di Terminale, l’applicazione per gestire il sistema operativo Mac attraverso linee di comando testuali, e l’esecuzione automatica del codice. Apple non ha ancora rilasciato alcuna dichiarazione ufficiale in merito alla falla di sicurezza riscontrata in Mail e, probabilmente, occorrerà attendere fino alla settimana prossima: anche per i tecnici e i manager di Cupertino è in programma la tradizionale pausa per il Giorno del Ringraziamento.

Notizie su: