Apple finisce nuovamente sotto accusa: dopo le recenti critiche circa le strategie di sicurezza attuate, ove più volte i problemi sono stati insabbiati lasciando l’utenza in grave potenziale pericolo per lunghi periodi, viene segnalata pra da Lixlpixel una nuova falla definita dagli analisti “critica”.
Il problema è insito nei due maggiori browser compatibili Mac: Apple Safari e Microsoft Internet Explorer. La falla permette l’esecuzione di codice arbitrario tramite local script (.scpt) usando “‘help:runscript”. Il protocollo “Help” è dunque l’indiziato principale per il problema, e in attesa della risoluzione ufficiale della questione è sufficiente disabilitare l’opzione del browser che abilita l’apertura di file sicuri ed inoltre intervenire a livello di “InternetConfig” con appositi tool (quest’ultima la soluzione che offre maggiori garanzie).
L’exploit è molto semplice in quanto è sufficiente connettersi ad una pagina web appositamente programmata. Il rischio per l’utente è quello di aprire la propria macchina all’esecuzione di codice da esterno, mettendo a rischio i dati stessi contenuti nel proprio HD. L’advise Secunia (SA11622) precisa come risulta possibile allocare file arbitrari all’interno dell’hard disk con tutti i rischi del caso.
Arriva da eEye un forte monito a Apple improntato su un punitivo parallelismo con Microsoft: il ritardo della segnalazione delle falle è un errato approccio al problema in quanto gli utenti vengono lasciati a rischio ed inoltre non viene promossa una necessaria sensibilizzazione dell’utente nei confronti di tali problematiche. Nella fattispecie l’ultima falla emersa è datata 23 Febbraio, con un’attesa prima della comunicazione (priva di risoluzione) pari a quasi 3 mesi.