Arriva di nuovo dal team Project Zero di Google, costantemente al lavoro per scoprire bug o problemi di sicurezza presenti in software e sistemi operativi (compresi quelli di bigG), la segnalazione di una grave vulnerabilità: è stata individuata questa volta nella piattaforma macOS della mela morsicata e, se sfruttata da un malintenzionato, può avere pesanti conseguenze.
Project Zero: vulnerabilità in macOS
La falla è stata segnalata alla fine del novembre 2018 ad Apple, che però non vi ha ancora posto rimedio. Così, trascorsi i 90 giorni concessi da Project Zero per approntare una soluzione, il team ha reso nota la vulnerabilità appiccicandole l’etichetta “High Severity”. Da Cupertino la rassicurazione di essere già al lavoro per il rilascio di una patch in tempi brevi, ma pur sempre in ritardo rispetto alla deadline offerta dal team Project Zero.
A mostrare il fianco è il kernel XNU del sistema operativo e più precisamente l’esecuzione di operazioni copy-on-write, metodo impiegato per l’ottimizzazione del sistema: se più processi richiedono la stessa risorsa, hanno accesso alla medesima copia anziché crearne una seconda, almeno finché non vengono apportate modifiche. I ricercatori hanno notato che effettuando un cambiamento all’immagine del file system montata sul computer, la piattaforma non lo segnala all’utente. Così facendo, un malintenzionato può potenzialmente allungare le mani sulle informazioni contenute nel Mac, comprometterle, oppure appropriarsene, senza che la malcapitata vittima si renda conto di nulla. Riportiamo di seguito in forma tradotta il commento di Ian Beer, membro di Project Zero:
Siamo stati in contatto con Apple per questo problema, ma ad oggi non è disponibile alcun fix. L’azienda intende risolverlo con una release futura e stiamo lavorando fianco a fianco per valutare le diverse opzioni relative alla patch. Aggiorneremo l’issue tracker non appena avremo ulteriori dettagli.
Arriverà una patch, prima o poi
Sulla pagina pubblicata dal team di Google che spiega nel dettaglio la dinamica sono presenti anche alcuni esempi che illustrano il funzionamento e le conseguenze di un eventuale attacco. La mela morsicata risolverà il problema mediante il rilascio di un aggiornamento per macOS, ma non è dato a sapere con quali tempistiche. La speranza è che la patch possa arrivare a breve e non essere inclusa nella release 10.15 della piattaforma che quasi certamente sarà presentata soltanto nel mese di giugno all’evento WWDC 2019.