Apple rilascia altre tre patch, questa volta per il Mac

Apple rilascia altre tre patch, questa volta per il Mac

Dopo gli aggiornamenti di sicurezza per i dispositivi mobile, Cupertino costretta ad rilasciare nuove toppe. Questa volta per i suoi PC
Dopo gli aggiornamenti di sicurezza per i dispositivi mobile, Cupertino costretta ad rilasciare nuove toppe. Questa volta per i suoi PC

Circa una settimana fa Apple ha messo al riparo gli utenti di alcuni suoi dispositivi (iPad e iPhone prima di tutto) “spingendo” l’ aggiornamento del sistema operativo iOS alla versione 9.3.5. La vulnerabilità del sistema avrebbe potuto permettere a malintenzionati di installare liberamente codice malevolo all’interno dei dispositivi compromettendo le comunicazioni (e ciò che ne consegue, compresa la sottrazione di dati sensibili). Oggi da Cupertino arrivano nuovi aggiornamenti di sicurezza per i sistemi Mac. Si tratta in particolare delle patch Security Update 2006-001 per OS X 10.11.6 El Capitan e il Security Update 2006-005 per OS X 10.10.5 Yosemite , disponibili dalla data di ieri per il download. È stato rilasciato in contemporanea anche un aggiornamento di Safari che arriva così alla versione 9.1.3 anche in questo caso con implementazioni volte a migliorare la sicurezza.

Apple patch

Per far breccia nei sistemi è sufficiente che l’utente attraverso un SMS acceda ad un indirizzo Web dal quale vengono eseguiti file binari nel sistema operativo fino a scavare nel kernel e permettere l’installazione di software non autorizzato (i bug in particolare sono CVE-2016-4654 e CVE-2016-4655 ). Gli update rilasciati da Apple sono volti a prevenire l’esecuzione di codice binario con privilegi nel kernel. L’aggiornamento di Safari risolve invece un problema della memoria ( CVE-2016-4564 ) che potrebbe consentire a un sito di eseguire codice malevolo necessario a forzare l’entrata.

La vulnerabilità sarebbe già stata sfruttata per installare lo spyware Pegasus sul telefono di (almeno) un attivista per i diritti umani negli Emirati Arabi Uniti, intercettando informazioni sensibili, questo quanto si apprende dal sito Arstechnica.com . L’exploit sarebbe stato lanciato da una azienda statunitense specializzata in questo tipo di attacchi. Il kit utilizzato per poter compromette gli iPhone e altri sistemi informatici costa circa 8 milioni di dollari per 300 licenze. Un investimento che lascia intendere che siano stati sferrati molti più attacchi rispetto a quanto si possa credere. Alle spalle c’è l’ NSO group , un’agenzia segreta dedita alla creazione di malware che in breve tempo si è già imposta ai media.

I ricercatori di Citizen Lab e Lookout Security che per primi hanno scoperto il fallo hanno affermato che “Pegasus rappresenta l’attacco più sofisticato che sia mai stato visto approfittando di quanto i cellulari siano integrati con la nostra vita e della combinazione di caratteristiche disponibili solo su mobile, connessione sempre attiva (WiFi, 3G/4G), comunicazioni vocali, fotocamera, email, messaggistica, GPS, password e lista contatti”, come se non bastasse “è un sistema modulare che permette personalizzazioni e usa una forte codifica per evitare di essere scoperto.”

Apple non ha chiarito se i problemi di sicurezza riguardino anche Mac OS 10.12 Sierra o Safari 10 beta.

Mirko Zago

fonte immagine

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 2 set 2016
Link copiato negli appunti