Verso la fine della scorsa settimana Apple ha pubblicato il suo primo Security Update dell’anno, un aggiornamento particolarmente corposo che corregge diverse vulnerabilità di sicurezza in Mac OS X 10.4.11, Mac OS X 10.5.6, nell’implementazione di Java per Mac e nel browser Safari.
I bug corretti dal Security Update 2009-001 sono in tutto 55, tra i quali 48 riguardano i componenti proprietari od open source di Mac OS X e quattro la piattaforma Java. L’esecuzione di codice in modalità remota è un pericolo associato alle vulnerabilità risolte nei componenti Apple Pixlet Video, ClamAV, CoreText, Python, SMB, X11 e Java, mentre il bug corretto nel componente Remote Apple Events potrebbe esporre gli utenti al rischio di furto delle proprie informazioni personali. Una falla nell’AFP Server, infine, potrebbe consentire ad un aggressore di lanciare attacchi di tipo denial of service.
Apple ha anche rilasciato una nuova versione di Safari per Windows, la 3.2.2, che sistema una falla resa pubblica a metà gennaio, nel lettore di feed RSS integrato nel browser. Secondo quanto spiegato dal ricercatore di sicurezza che ha scoperto il problema, Brian Mastenbrook, questa vulnerabilità può essere innescata da una pagina web maligna e potrebbe consentire ad un aggressore di eseguire del codice a distanza o accedere ai dati personali dell’utente (indirizzi email, password e altre informazioni conservate nei cookie di Safari).
Mastenbrook si è detto poco soddisfatto di come Apple ha gestito la correzione di questa falla: egli sostiene che, dalla sua prima segnalazione al rilascio della patch, sono trascorsi sette mesi.
“A questo punto gli utenti di Mac OS X devono solo sperare che Apple si occupi di questi problemi di sicurezza con maggior serietà, prima che phishing, malware e virus si diffondano anche su questa piattaforma”, ha commentato il ricercatore in questo post .
Gli aggiornamenti contenuti nel Security Update 2009-001 possono essere scaricati automaticamente tramite la funzione Aggiornamento Software, ma sono anche scaricabili manualmente dal sito di supporto tecnico di Apple.