Un 18enne italiano ha scoperto due importanti falle di OS X, che consentono a malware e altro software malevolo di guadagnare privilegi di root, pubblicando su GitHub i dettagli e una possibile patch per il problema.
“Italians do it better”. Pochi giorni dopo il rilascio di OS X 10.10.5, importante aggiornamento di sicurezza che correggeva una grave falla in grado di consentire laccesso ai privilegi di root a malware e altro software malevolo, un ragazzo italiano di 18 anni, Luca Todesco, ha scoperto ben 2 vulnerabilità 0-day che affliggono OS X.
Come spiega tramite email, i due bug causano la corruzione della memoria del kernel, processo che può essere sfruttato per bypassare la randomizzazione dello spazio del kernel (kASLR), tecnica usata per impedire attacchi. Come nel caso del bug corretto con OS X 10.10.5 anche questi due consentono di accedere ai privilegi di root.
Il ragazzo ha segnalato il problema ad Apple, fornito istruzioni dettagliate su come riprodurlo, e persino pubblicato una patch su GitHub. Si rammarica soltanto di non possedere una licenza come sviluppatore Apple, che gli avrebbe reso possibile diffondere subito la patch a milioni di utenti in modo molto più semplice.
Se continua a scovare vulnerabilità di questo tipo, potrebbe ottenere molto più che una semplice licenza sviluppatore.
via | PCWorld