Apple colleziona 22 patch

L'ultimo update della Mela corregge diverse vulnerabilitÓ di sicurezza scoperte negli scorsi mesi in Mac OS X e nelle applicazioni integrate. Tra le falle sistemate c'Ŕ anche quella zero-day di AirPort

Cupertino (USA) - Con il Security Update 2006-007, settimo aggiornamento di sicurezza dell'anno, Apple ha corretto una trentina di vulnerabilità contenute nel codice di Mac OS X e in quello di software sviluppati da terze parti, tra i quali PHP, ClamAV, OpenSSL, Perl e Samba. Le patch sono in totale 22, 18 delle quali si applicano anche all'ultima versione di Mac OS X, la 10.4.8.

Tra le falle sistemate dall'ultimo update ve n'è una contenuta nel driver di AirPort, l'adattatore Wi-Fi integrato in diversi modelli di Mac. La debolezza, scoperta all'inizio del mese dal noto ricercatore di sicurezza HD Moore, consiste in un buffer overflow che può essere innescato attraverso l'invio di un pacchetto malformato alla scheda wireless. Considerata di gravità medio-alta, la debolezza interessa soltanto i Mac meno recenti: quelli con la versione Extreme di AirPort sono immuni al problema.

Più gravi i problemi che interessano altri componenti di Mac OS X, come il server Apple Type Services, il server VPN, Webkit, e PPP. In questi casi, secondo quanto riportato qui da FrSIRT, un aggressore potrebbe essere in grado di eseguire comandi a sua scelta con i massimi privilegi.
Altri bug più o meno seri sono stati corretti in ftpd, gnuzip, finder, CFNetwork, ATS, Installer e Security Framework.

Il ricercatore LMH, noto per il blog Month of Kernel Bugs, sostiene che Apple non avrebbe corretto alcuna delle vulnerabilità da lui divulgate nel corso di novembre. Tra queste vi è la recente falla legata alla gestione dei file DMG, che in certe circostanze potrebbe consentire ad un malintenzionato di prendere il pieno controllo di un Mac da remoto.
23 Commenti alla Notizia Apple colleziona 22 patch
Ordina
  • http://nvd.nist.gov/nvd.cfm?cvename=CVE-2006-4396

    http://nvd.nist.gov/nvd.cfm?cvename=CVE-2006-4398

    http://nvd.nist.gov/nvd.cfm?cvename=CVE-2006-4400


    http://nvd.nist.gov/nvd.cfm?cvename=CVE-2006-4401

    mi sà che qualcosa è sfuggito a cupertino quando hanno fatto le pezze, 3 cve sono simili alle vulnerability risolte dall'ultmo security update.


    Fan Apple


    e vabbè.
    non+autenticato
  • - Scritto da:

    > http://nvd.nist.gov/nvd.cfm?cvename=CVE-2006-4396
    >
    > http://nvd.nist.gov/nvd.cfm?cvename=CVE-2006-4398
    >
    > http://nvd.nist.gov/nvd.cfm?cvename=CVE-2006-4400
    >
    >
    > http://nvd.nist.gov/nvd.cfm?cvename=CVE-2006-4401
    >
    > mi sà che qualcosa è sfuggito a cupertino quando
    > hanno fatto le pezze, 3 cve sono simili alle
    > vulnerability risolte dall'ultmo security
    > update.

    Minchia, ma leggetevi ste kaxxo di pagine che linkate ogni tanto. C'è tanto di link al sito di secunia con la patch che le risolve.

    Lo so che vi siete presi tante mazzate negli anni passati e ora vi volete sfogare con qualcuno. Però sarebbe l'ora che spegneste questo benedetto computer e v'andaste a fare una passeggiata. Funziona meglio.
    -----------------------------------------------------------
    Modificato dall' autore il 01 dicembre 2006 01.57
    -----------------------------------------------------------
    FDG
    10933
  • - Scritto da: FDG

    > Minchia, ma leggetevi ste kaxxo di pagine che
    > linkate ogni tanto. C'è tanto di link al sito di
    > secunia con la patch che le
    > risolve.
    >
    > Lo so che vi siete presi tante mazzate negli anni
    > passati e ora vi volete sfogare con qualcuno.
    > Però sarebbe l'ora che spegneste questo benedetto
    > computer e v'andaste a fare una passeggiata.
    > Funziona
    > meglio.
    >
    > Modificato dall' autore il 01 dicembre 2006 01.57
    >

    Ok che stai rosicando, ma datti una calmata!
    Dai va, continua a rosicare.
    non+autenticato
  • ...niente Mac User che si posizionano a 90░ per difendere la Mela marcia che ha passi da gigante sta raggiungedo i livelli di Microsozz!!!

    Condoglianze Mac Users, tra un pò entrete anche voi nel fantastico mondo del formatta, riavvia, pulizia di registro, antivirus e che più ne ha più ne metta.

    Cavolo....però mi dispiace....questa era una prerogativa dei Winari!!!

    OcchiolinoOcchiolino
    non+autenticato
  • - Scritto da:

    > pulizia di registro

    quale registro?
    FDG
    10933
  • Eccolo qui, quello che continua a rosicare!! Sei parecchio arrabbiato,eh? Ti senti un pò fregato, visto che il tuo amato MAC non è poi così blindato come si vuol far credere!

    Dai va, continua a rosicare!
    non+autenticato
  • La stagione natalizia è alle porte e apple fa felice i propri Utenti con una collezione di patch che fa impressione: tutti e dico tutti gli applicativi presentano un bacherozzolo, una falla, una tana a prova di pantegana!!!

    Si dice tanto di Microsoft, ma apple con OSX ha il suo colabrodo da rattoppare, con programmi fallati ed una gestione del mouse unix-like e quindi poco user friendly (percorro 100m con la mano, il puntatore si sposta di 1/2 centimetro, insopportabile).

    Bella lì Steve Blowjobs!!!

    Fan WindowsFan WindowsFan Windows

    Linux intanto aspetta dei driver certificati per la 8800!!!

    Fan WindowsFan WindowsFan Windows
    non+autenticato

  • - Scritto da:
    > La stagione natalizia è alle porte e apple fa
    > felice i propri Utenti con una collezione di
    > patch che fa impressione: tutti e dico tutti gli
    > applicativi presentano un bacherozzolo, una
    > falla, una tana a prova di
    > pantegana!!!


    Non ci sono più i troll di una volta...Triste


    >
    > Si dice tanto di Microsoft, ma apple con OSX ha
    > il suo colabrodo da rattoppare, con programmi
    > fallati ed una gestione del mouse unix-like e
    > quindi poco user friendly (percorro 100m con la
    > mano, il puntatore si sposta di 1/2 centimetro,
    > insopportabile).


    Bravo, hai scoperto proprio uno dei motivi per cui un Mac è meglio: il puntatore a velocità incrementale "vera".

    La distanza percorsa dal puntatore dipende dalla velocità della mano, non solo dalla distanza coperta e questo fa si che se muovo la mano lentamente ho una precisione micrometrica del puntatore, se la muovo velocemente mi bastano pochi cm. di movimento per coprire TUTTO lo schermo (o due schermi affiancati).

    Ma tu che non sai fare neanche il troll non puoi capirlo...



    non+autenticato
  • e togli la I da figuracce!!!!!
    non+autenticato
  • ....a sua scelta con i massimi privilegi.
    Chi è che la smenava che su mac è e sarebbe stato sempre impossibile avere massimi privilegi??
    non+autenticato
  • In ogni caso bisogna sempre loggarsi come root, e non è così immediato. Cmq almeno per adesso, abbiamo un sistema operativo che ci permette di naviagre senza antivirus, antispyware, anti gates. Cmq sono d'accordo che ora la differenza tra un pc e un mac è solo il sistema operativo, che cmq non è cosa da poco.
    non+autenticato

  • - Scritto da:
    > In ogni caso bisogna sempre loggarsi come root, e
    > non è così immediato.

    NO. Con questa falla da normale utente si riesce ad eseguire un comando o un programma con il massimo dei privilegi.
    non+autenticato
  • - Scritto da:

    > NO. Con questa falla da normale utente si riesce
    > ad eseguire un comando o un programma con il
    > massimo dei privilegi.

    Se ti leggi i report scopri che non è così. Si tratta di buffer overflow sull'ATSUI (Apple Type Services for Unicode Imaging), quindi non un problema che da banalmente accesso ad una shell privilegiata. Si tratta di falle potenzialmente pericolose perché bisogna scoprire come sfruttarle opportunamente, una cosa non banale. Ad esempio, dovresti trovare un modo di realizzare un font che oltre a mandare in palla ATSUI sia in grado di far eseguire codice malevolo in modalità privilegiata.
    FDG
    10933
  • "...eseguire comandi a sua scelta con i massimi privilegi".
    Punto! Basta a menarla!!
    non+autenticato
  • ...si è vero... bravo... ah ricordati di aggiornare l'antivirus stasera che sennò ti si riaprono quei pop-up porno...
    io intanto navigo senza noiosi antivirus... ah... che pacchia! Fan Apple
    -----------------------------------------------------------
    Modificato dall' autore il 30 novembre 2006 11.30
    -----------------------------------------------------------
    MeX
    16902
  • Ciao genio, anche io navigo senza antivirus! Si chiama Linux...non so se conosci!!

    Dai va, non te la prendere!
    non+autenticato

  • - Scritto da:
    > "...eseguire comandi a sua scelta con i massimi
    > privilegi".
    > Punto! Basta a menarla!!

    Ah sì? E chi lo dice? Quel tizio che ha scoperto il bug? E voi ci credete? Se è così facile, perché non ha postato almeno un "proof of concept"?
    Tanto per chiarire:trovare un bug per far andare in crash un serivzio, o anche il kernel, non è così difficile; ma trovare il modo di eseguire codice con escalation di privilegi è molto, molto più complicato.
    Ed è appena il caso di aggiungere che il mondo Mac fa gola a tutti i produttori di sistemi di security, trattandosi di un mercato vergine di circa 30 milioni di macchine (alla faccia della nicchia). Vi sembra così strano che le aziende produttrici paghino sedicenti bug hunter per raccontare balle allo scopo di convincere gli utonti a installare i loro inutili e costosissimi "sistemi di sicurezza"?
    La verità è che se una falla di Os X può davvero portare al controllo del sistema da remoto, viene chiusa nel giro di 48 ore (e non 6 mesi, come succede spesso nel mondo Windows). Altrimenti, si aspetta l'aggiornamento automatico mensile.
    non+autenticato

  • - Scritto da:
    > ma trovare il modo di eseguire
    > codice con escalation di privilegi è molto, molto
    > più
    > complicato.

    è talmente complicato che con queste falle si poteva proprio farlo. Rassegnati, ogni OS ha le sue falle Rotola dal ridere
    non+autenticato
  • - Scritto da:

    > è talmente complicato che con queste falle si
    > poteva proprio farlo.

    Come? Sono proprio curioso di leggere le kaxxate che ti riesci ad inventare.
    FDG
    10933

  • - Scritto da:
    > "...eseguire comandi a sua scelta con i massimi
    > privilegi".
    > Punto! Basta a menarla!!

    Ok, fallo.


    Se non sei in grado sei solo un... kaxxone!




    p.s.: un kaxxone di troll.
    FDG
    10933