Luca Annunziata

Safari, il bug era open source

La falla che ha fruttato 10mila dollari al vincitore di PWN to OWN era nota da tempo. Il problema era in una libreria a sorgenti aperti. Che Apple aveva dimenticato di aggiornare

Roma - Charlie Miller si è portato a casa un MacBook Air e 10mila dollari grazie ad una falla di Safari nota da oltre un anno. Una vulnerabilità legata ad una parte di codice open source presente nel browser Apple, sanata da tempo dalla comunità. A quanto pare, gli sviluppatori di Cupertino si erano dimenticati di scaricare l'ultima versione.

Il problema era legato alla libreria Perl Compatible Regular Expressions (PCRE), utilizzata oltre che da Safari anche da Apache, PHP e altri software più o meno noti. La falla era stata individuata da Chris Evans all'inizio del 2007, tappata a maggio con il rilascio della versione 6.7 di PCRE, e resa pubblica a novembre dello stesso anno da Evans stesso.

A quanto pare, però, i tecnici che stanno dietro lo sviluppo di Safari non avevano provveduto ad aggiornare la libreria PCRE in loro possesso, che ormai è giunta alla release 7.6. O almeno non l'avevano fatto fino alla scorsa settimana, quando con il rilascio della versione 3.1.1 del browser si è provveduto a tappare il buco sfruttato da Miller. Quest'ultimo già nel 2007 aveva sostenuto che le vulnerabilità di Mac OS X risiedessero nel codice open source, impiegato da Apple per la realizzazione dei programmi.
Miller è stato dunque molto abile ad individuare un problema noto ma ormai risolto, che teoricamente non avrebbe dovuto riguardare il codice di applicazioni rilasciate dopo che una patch era stata prodotta. Qualcosa di simile si era già verificato su altre piattaforme con software che incorpora librerie zlib e JPEG compression, ma ciò non toglie che a Cupertino avrebbero dovuto fare maggiore attenzione agli update. (L.A.)
7 Commenti alla Notizia Safari, il bug era open source
Ordina