Nuove vulnerabilità zero-day in OS X Yosemite

Un giovane sviluppatore italiano, Luca Todesco, ha scoperto due nuove vulnerabilità zero-day nel sistema operativo Apple che potrebbero essere sfruttate per ottenere l’accesso remoto al computer ed eseguire software con privilegi di root. Apple è stata informata del problema, ma non ha ancora rilasciato una patch. Attualmente, l’unica soluzione è installare OS X 10.11 El Capitan, disponibile però in versione beta.

Le vulnerabilità, presenti nelle versioni di OS X comprese tra 10.9.5 e 10.10.5, sono state descritte in dettaglio da Todesco, che ha pubblicato su GitHub anche il proof-of-concept e il tool che protegge il sistema da un eventuale attacco. Le due falle zero-day sono state individuate in IOKitLib, un’interfaccia che consente alle applicazioni di accedere ai dispositivi. Utilizzando un parametro invalido per chiamare la funzione IOServiceOpen, un malintenzionato potrebbe accedere alla memoria del kernel ed eseguire software con i privilegi di root.

Questo tipo di attacco, che bypassa le difese della tecnologia kASLR (kernel address space layout randomization), richiede tuttavia l’installazione di software infetto con la “collaborazione” dell’utente. È quindi consigliabile eseguire solo applicazioni firmate e provenienti da fonti sicure. Lo sviluppatore italiano ha scritto un’estensione del kernel (NULLguard) che blocca eventuali exploit. In alternativa è possibile usare il tool SUIDGuard di Stefan Esser, disponibile nei formati DMG e PKG.

Todesco ha ricevuto molte critiche, in quanto ha pubblicato i dettagli delle vulnerabilità prima del rilascio della patch. Apple è stata comunque informata del problema e nei prossimi giorni distribuirà l’aggiornamento 10.10.6.