Nel corso delle scorse ore Apple ha rilasciato un aggiornamento per Safari che corregge una vulnerabilità presente nel software che poteva causarne l’arresto improvviso o l’esecuzione di codice malevolo. Aggiornato anche Flash, sempre per motivi di sicurezza.
Nonostante le ultime patch per la sicurezza e il costante impegno di un’azienda come Apple per cercare di rendere il software nativo di Mac OS X più robusto, Safari non è riuscito a resistere all’attacco preparato per il Pwn2Own 2011. Un team di ricercatori dell’azienda francese VUPEN, infatti, è riuscito a sfruttare una falla presente nel browser realizzato dall’azienda di Cupertino per vincere l’edizione 2011 del contest.
L’attacco, messo a punto dagli esperti di VUPEN, consiste nell’indirizzare il browser ad un determinato sito Web e nell’ottenere, di conseguenza, il controllo della macchina sulla quale è in esecuzione Safari. Come sostiene Chaouki Bekrar (co-fondatore di VUPEN), il suo team ha messo a punto un exploit che approfitta di una falla “zero-day” presente nel browser e permette di eseguire l’applicazione Calcolatrice sulla macchina.
Una falla di Java mette a rischio la sicurezza di Mac OS X. La mettiamo giù in maniera piuttosto semplice ma pare proprio che questa volta l’allarme sia potenzialmente serio. Ad avvertire del rischio concreto di una esecuzione di codice arbitrario sulla macchina dell’utente da parte di una Applet Java appositamente compilata ed eseguita nel browser, è Landon Fuller, programmatore ed ex ingegnere di Apple.
Per dimostrare che non si tratta di una minaccia remota e teorica Fuller ha rilasciato una vera e propria proof of concept che servirebbe, a suo dire, a convincere Apple della necessità di patchare al più presto la vulnerabilità. Cerchiamo di capire meglio in cosa consiste il problema e come sia possibile difendersi in attesa di un nuovo aggiornamento di sicurezza.