Apple: una falla mina la sicurezza del sistema
di Marco Giuliani, pubblicata il 22 Novembre 2006, alle 16:07 nel canale Sicurezza
“Una falla, stimata come "critica", mina alla base la sicurezza del sistema operativo. Apple non ha al momento rilasciato nessun commento.”
Notizia Precedente 
Commenti (154)
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - Info
Commento # 11
di: rpor
pubblicato il 22 Novembre 2006, 16:48
Os X è stato da sempre considerato "meglio di XP", sopratutto sul versante sicurezza.
Questa è la dimostrazione che non c'è uno meglio dell'altro.
Gli errori di programmazione ci sono, finchè ci sarà una persona a premere i tasti della tastiera sarà inevitabile, che lavori alla Microsoft piuttosto che alla Apple.
Questa è la dimostrazione che non c'è uno meglio dell'altro.
Gli errori di programmazione ci sono, finchè ci sarà una persona a premere i tasti della tastiera sarà inevitabile, che lavori alla Microsoft piuttosto che alla Apple.
Commento # 12
di: Pashark
pubblicato il 22 Novembre 2006, 16:50
Gli apple costano 100 eurozzi in più solo perché sono neri.
Windows gira su 10000000 modelli diversi per componentistica interna ed esterna, con le più svariate combinazioni di sw installato, con il peggior virus mai creato ed aggiornato (peggio persino di win me): il Norton!
Premesso questo è normale che un sw abbia una falla, meno bello è IE che ne ha troppe e non fa nulla per aiutare l'utente a non esserne vittima.
Io uso firefox (e prima mozilla dalla alpha version) e non ho mai avuto nessunissimo problema (a parte alcuni crash risolti riavviando il browser). Safari non è certo questo browser eccelso...
Windows gira su 10000000 modelli diversi per componentistica interna ed esterna, con le più svariate combinazioni di sw installato, con il peggior virus mai creato ed aggiornato (peggio persino di win me): il Norton!
Premesso questo è normale che un sw abbia una falla, meno bello è IE che ne ha troppe e non fa nulla per aiutare l'utente a non esserne vittima.
Io uso firefox (e prima mozilla dalla alpha version) e non ho mai avuto nessunissimo problema (a parte alcuni crash risolti riavviando il browser). Safari non è certo questo browser eccelso...
Commento # 13
di: guerret
pubblicato il 22 Novembre 2006, 16:53
Questa pare effettivamente essere la vulnerabilità più grave mai scoperta in Mac OS X. In effetti il problema è dovuto al fatto che scaricando un DMG con Safari te lo trovi bello che aperto in Finder. Problema che non si pone per chi, come me, predilige Firefox (usando 3 sistemi operativi diversi preferisco avere un po' di coerenza tra gli applicativi).
Vediamo ora quanto ci mettono a patcharlo.
E soprattutto vedremo se si dimostrerà un caso semi-isolato o solo il primo di una lunga serie, e nel giro di un po' di mesi avremo uno scenario simil-Windows.
Vediamo ora quanto ci mettono a patcharlo.
E soprattutto vedremo se si dimostrerà un caso semi-isolato o solo il primo di una lunga serie, e nel giro di un po' di mesi avremo uno scenario simil-Windows.
Commento # 14
di: guerret
pubblicato il 22 Novembre 2006, 16:57
Domanda altamente tecnica.
http://secunia.com/advisories/23012/
Secunia segnala questa vulnerabilità come "highly critical", con scenari di exploit come Privilege escalation, DoS e System access. Capisco la Privilege escalation ed il System Access, ma come potrebbe questa vulerabilità legarsi ad un exploit di tipo DoS?
Non congetture o supposizioni, per piacere... solo se c'è qualcuno che ha le idee ben chiare in proposito mi risponda.
http://secunia.com/advisories/23012/
Secunia segnala questa vulnerabilità come "highly critical", con scenari di exploit come Privilege escalation, DoS e System access. Capisco la Privilege escalation ed il System Access, ma come potrebbe questa vulerabilità legarsi ad un exploit di tipo DoS?
Non congetture o supposizioni, per piacere... solo se c'è qualcuno che ha le idee ben chiare in proposito mi risponda.
Commento # 15
di: zioccaro
pubblicato il 22 Novembre 2006, 17:01
> come potrebbe questa vulerabilità legarsi ad un exploit di tipo DoS?
Se la vulnerabilita' permette di far girare codice in
kernel memory, vuol dire che si potrebbe (ad esempio) zombizzare
l'host e richiamare da remoto un packet flooder al momento opportuno...
se vedi questo scenario "spalmato" su un alto numero di "zombi", il
DoS e' bello che servito.
Se la vulnerabilita' permette di far girare codice in
kernel memory, vuol dire che si potrebbe (ad esempio) zombizzare
l'host e richiamare da remoto un packet flooder al momento opportuno...
se vedi questo scenario "spalmato" su un alto numero di "zombi", il
DoS e' bello che servito.
Commento # 16
di: brandnewline
pubblicato il 22 Novembre 2006, 17:06
ma per favore!
ho 5 macchine di cui 2 mac e 3 windows.
sviluppo soluzioni di rete per entrambe le piattaforme.
parlo per esperienza dunque non per malizia o per sentito dire:
prima di tutto aspetterei che la falla venga ufficializzata da apple.
safari permette di eseguire automaticamente i file scaricati, un po come "Esegui" di internet explorer o "Apri" di firefox nella lista dei download...
basta non farlo... non ci vedo questo grande problemone.
io safari l'ho configurato (con 1 click) perchè non lanci i file scaricati.
fine del problema.
ripeto aspettiamo l'ufficializzazione della falla, perchè potrebbe anche darsi che
alla apple ci abbiamo anche pensato a lanciare i dmg scaricati da web in una sandbox di sistema.
il problema comunque anche se non fosse così, è che stiamo parlando di un sistema bsd, e l'esecuzione di un codice non può essere aleatoria, ma certificata
con dei permessi, un utente, un profilo... non è come in windows che chiunque può fare qualsiasi cosa... motivo peraltro per cui ci si becca i virus.
l'informatica NON è magia.
ho 5 macchine di cui 2 mac e 3 windows.
sviluppo soluzioni di rete per entrambe le piattaforme.
parlo per esperienza dunque non per malizia o per sentito dire:
prima di tutto aspetterei che la falla venga ufficializzata da apple.
safari permette di eseguire automaticamente i file scaricati, un po come "Esegui" di internet explorer o "Apri" di firefox nella lista dei download...
basta non farlo... non ci vedo questo grande problemone.
io safari l'ho configurato (con 1 click) perchè non lanci i file scaricati.
fine del problema.
ripeto aspettiamo l'ufficializzazione della falla, perchè potrebbe anche darsi che
alla apple ci abbiamo anche pensato a lanciare i dmg scaricati da web in una sandbox di sistema.
il problema comunque anche se non fosse così, è che stiamo parlando di un sistema bsd, e l'esecuzione di un codice non può essere aleatoria, ma certificata
con dei permessi, un utente, un profilo... non è come in windows che chiunque può fare qualsiasi cosa... motivo peraltro per cui ci si becca i virus.
l'informatica NON è magia.
Commento # 17
di: guerret
pubblicato il 22 Novembre 2006, 17:06
Grazie. 
Commento # 18
di: brandnewline
pubblicato il 22 Novembre 2006, 17:10
>
> Se la vulnerabilita' permette di far girare codice in kernel memory
>
ecco, qui ci siamo capiti...
però penso (e spero) che non sia così immediata questa operazione.
sarebbe davvero da studiarsela... ma ci penseranno i buoni ingengeri
apple se ne vale la pena, dato che solitamente lo fanno.
magari tra un mesetto che esce l'aggiornamento sulla sicurezza lo includono
al volo, gantt permettendo! ^_^
> Se la vulnerabilita' permette di far girare codice in kernel memory
>
ecco, qui ci siamo capiti...
però penso (e spero) che non sia così immediata questa operazione.
sarebbe davvero da studiarsela... ma ci penseranno i buoni ingengeri
apple se ne vale la pena, dato che solitamente lo fanno.
magari tra un mesetto che esce l'aggiornamento sulla sicurezza lo includono
al volo, gantt permettendo! ^_^
Commento # 19
di: leoneazzurro
pubblicato il 22 Novembre 2006, 17:11
Originariamente inviato da: Zerk
@IlTurko
Io uso tutti e 3 i principali OS, ma i Fanboy della mela han rotto talmente tanto, ogni notizia di bug su Win che non ne potevo piu.... Ora finalmente devono star zitti xkè "forse" si accorgeranno che anche quello della mela è un OS e come tutti gli altri e' soggetto a bug, e come sempre e' la diffusione che ne determina una maggior scoperta.
Io uso tutti e 3 i principali OS, ma i Fanboy della mela han rotto talmente tanto, ogni notizia di bug su Win che non ne potevo piu.... Ora finalmente devono star zitti xkè "forse" si accorgeranno che anche quello della mela è un OS e come tutti gli altri e' soggetto a bug, e come sempre e' la diffusione che ne determina una maggior scoperta.
Se fosse così, perchè imitarli?
Evitiamo flame, per favore.
Commento # 20
di: rpor
pubblicato il 22 Novembre 2006, 17:13
Originariamente inviato da: brandnewline
ho 5 macchine di cui 2 mac e 3 windows.
sviluppo soluzioni di rete per entrambe le piattaforme.
parlo per esperienza dunque non per malizia o per sentito dire:
prima di tutto aspetterei che la falla venga ufficializzata da apple.
safari permette di eseguire automaticamente i file scaricati, un po come "Esegui" di internet explorer o "Apri" di firefox nella lista dei download...
basta non farlo... non ci vedo questo grande problemone.
io safari l'ho configurato (con 1 click) perchè non lanci i file scaricati.
fine del problema.
ripeto aspettiamo l'ufficializzazione della falla, perchè potrebbe anche darsi che
alla apple ci abbiamo anche pensato a lanciare i dmg scaricati da web in una sandbox di sistema.
il problema comunque anche se non fosse così, è che stiamo parlando di un sistema bsd, e l'esecuzione di un codice non può essere aleatoria, ma certificata
con dei permessi, un utente, un profilo... non è come in windows che chiunque può fare qualsiasi cosa... motivo peraltro per cui ci si becca i virus.
l'informatica NON è magia.
sviluppo soluzioni di rete per entrambe le piattaforme.
parlo per esperienza dunque non per malizia o per sentito dire:
prima di tutto aspetterei che la falla venga ufficializzata da apple.
safari permette di eseguire automaticamente i file scaricati, un po come "Esegui" di internet explorer o "Apri" di firefox nella lista dei download...
basta non farlo... non ci vedo questo grande problemone.
io safari l'ho configurato (con 1 click) perchè non lanci i file scaricati.
fine del problema.
ripeto aspettiamo l'ufficializzazione della falla, perchè potrebbe anche darsi che
alla apple ci abbiamo anche pensato a lanciare i dmg scaricati da web in una sandbox di sistema.
il problema comunque anche se non fosse così, è che stiamo parlando di un sistema bsd, e l'esecuzione di un codice non può essere aleatoria, ma certificata
con dei permessi, un utente, un profilo... non è come in windows che chiunque può fare qualsiasi cosa... motivo peraltro per cui ci si becca i virus.
l'informatica NON è magia.
Non credo che la problematica da te esposta sia quella riportata nella news.
Quì si parla di immagine corrotta che causa un errore che permette l'esecuzione di codice, non ti accorgi di niente, o di molto poco.
News
