Durante l’inzio della settimana, Apple ha rilasciato una serie di aggiornamenti per i suoi principali sistemi operativi apportando correzioni per alcuni problemi di combatibilità e rendendo maggiormente affidabili gli OS per Mac. L’aggiornamento alla versione 10.5.4 di Leopard non solo ha posto le basi per l’imminente arrivo del nuovo servizio “cloud” MobileMe, erede di .Mac, ma ha anche segnato rilevanti correzioni per quanto riguarda la sicurezza. Come ormai tradizione, a documentare meticolosamente i bug legati alla sicurezza corretti da Apple, con gli ultimi aggiornamenti, ci ha pensato il team di esperti di Secunia.
Patch e update rilasciati nei giorni scorsi per Leopard, Tiger e le versioni Server di Mac OsX hanno posto rimedio a numerose vulnerabilità e malfunzionamenti dei sistemi. A causa di un errore presente in Alias Manager, in alcune circostanze la gestione di Apple Filing Protocol (AFP) avrebbe potuto portare alla esecuzione di codice arbitrario da parte di un utente malintenzionato. L’assenza di messaggi espliciti nell’apertura di file potenzialmente pericolosi con estensione “.xht” e “.xhtm” rendeva, inoltre, i sistemi meno sicuri e maggiormente soggetti a comportamenti deleteri da parte degli utenti.
Un errore di compilazione in c++filt poteva essere utilizzato per eseguire codice non autorizzato attraverso una stringa appositamente creata a tale scopo. La patch ha eliminato tale eventualità, così come una vulnerabilità riscontrata in “Dock” che avrebbe potuto consentire a utenti malintenzionati di accedere fisicamente al sistema, nonostante la presenza di un blocco con password, nel caso in cui fossero stati attivati gli “angoli schermo attivi” di “Exposé”.
Gli aggiornamenti hanno, inoltre, corretto alcune altre vulnerabilità riscontrate nella gestione di SMB File Server, in Net-SNMP e nel linguaggio di programmazione Ruby. Tutti i bug di sicurezza riscontrati sono stati corretti dall’aggiornamento alla versione 10.5.4 di Leopard e dal Security Update 2008-004 per il sistema operativo Tiger.
I problemi di sicurezza hanno interessato anche Safari, il browser concepito e sviluppato da Apple e giunto alla sua terza edizione. L’applicativo poteva esporre il sistema a fenomeni di memory corruption e all’esecuzione di codice non autorizzato da parte di utenti malintenzionati. Il problema era causato dalla scorretta gestione di alcune voci in Javascript che avrebbero potuto causare gravi problemi di sicurezza durante la navigazione in siti Web appositamente studiati per sfruttare la falla. L’installazione della versione 3.1.2 di Safari, compresa nei pacchetti di aggiornamento rilasciati da Apple, risolve completamente il problema scongiurando possibili intrusioni non autorizzate.