Cupertino (USA) – A meno di due settimane di distanza dal suo primo aggiornamento di sicurezza dell’anno, Apple ha messo a disposizione dei propri utenti il Security Update 2006-002 che sistema tre diverse vulnerabilità di Mac OS X.
La prima vulnerabilità fa sì che, in determinate circostanze, un programma JavaScript inglobato all’interno di una pagina web possa aggirare le policy di sicurezza del sistema e accedere ai dati dell’utente in modo arbitrario.
Il secondo problema consiste in un buffer overflow nel programma Mail innescato da certi allegati di posta elettronica. Un aggressore potrebbe sfruttarlo per indurre un utente ad aprire un allegato che, una volta caricato, esegua del codice con gli stessi privilegi dell’utente che fa girare Mail.
La terza falla , variante di quella già corretta dal precedente Security Update, riguarda la non corretta verifica, da parte di Safari e LaunchServices, di certi tipi di file: ciò potrebbe consentire ad un cracker di mascherare del codice JavaScript in modo tale che Safari lo identifichi come un file sicuro e lo apra in automatico.
L’aggiornamento sistema infine alcuni bug non di sicurezza in due componenti di Mac OS X, apache_mod_php e rsync , e perfeziona un meccanismo di protezione introdotto da Apple con lo scorso update: tale meccanismo, che si occupa di verificare la sicurezza dei file scaricati con Safari, Mail e iChat, generava talvolta allarmi ingiustificati.
FrSIRT e Secunia hanno dedicato un advisory che valuta il rischio complessivo delle nuove vulnerabilità di Mac OS X rispettivamente come “critical” e “extremely critical”.
Proprio negli scorsi giorni la società eEye Digital Security ha scoperto due nuove falle in QuickTime e iTunes che potrebbero consentire ad un aggressore di eseguire del codice da remoto. Secondo eEye il bug è molto pericoloso, ma i rischi maggiori li corrono gli utenti di Windows, che in genere si loggano nel sistema con i massimi privilegi.
Apple ha confermato l’esistenza del problema ma non ha fornito alcuna stima sui tempi di rilascio della patch.