Cerca nel blog

2006/03/02

Pronta la patch per le falle di Safari, Mail e Mac OS X

Questo articolo vi arriva grazie alle gentili donazioni di "giopa_p" e "luca.frago****".

Apple ha rilasciato la patch che corregge le gravi falle descritte nei giorni scorsi. La documentazione (piuttosto scarna, come al solito) delle falle turate è nelle pagine di sicurezza del sito Apple.

Ce n'è per tutti i gusti, ma le correzioni più importanti per l'utente comune sono quelle che riguardano Mail e Safari, che ora esaminano più a fondo i file ricevuti prima di dichiararli "sicuri", e quella che riguarda iChat, che ora non è più vulnerabile dall'attacco del virus/worm Leap.A.

L'invito per tutti gli utenti Mac è scaricare e installare subito gli aggiornamenti, usando l'apposita funzione di Mac OS X. Sarà necessario riavviare, e se avete rimosso dal Dock l'icona di iTunes, noterete che viene ripristinata: un fastidioso vezzo autopromozionale piuttosto ricorrente da qualche tempo in casa Apple.

Una volta installati gli aggiornamenti, il test della falla fornito da Heise.de (descritto nel mio articolo precedente sul tema), che prima funzionava anche se si usava Mail come utente non amministratore, visualizza ancora in Mail un'icona ingannevole (la vedete qui in alto a sinistra), ma quando si fa doppio clic sull'icona fa comparire un avviso che dice che l'allegato potrebbe contenere un'applicazione e chiede se annullare o aprire l'allegato. Se si clicca su Apri nonostante l'avviso, il test ha successo.

In altre parole, la correzione fatta da Apple richiede ancora la presenza di spirito dell'utente e non blocca automaticamente l'esecuzione del file-trappola. E' insomma un palliativo che non risolve alla radice il problema, anche se è certamente meglio di niente (considerato che sono passate solo due settimane dall'annuncio della falla).

Sul tema delle falle di Mac OS X a confronto con quelle di Windows, vale la pena di notare come i vari metodi di contare le falle portino a risultati opposti, per cui ognuno può scegliere il metodo che più giova alla propria campana: Paul Murphy ha scritto in proposito un articolo su ZdNet molto illuminante.

Murphy cita l'analisi fatta da George Ou, sempre di ZDNet, degli advisory di Secunia: da gennaio 2004, ci sono state circa 238 falle "serie" in Mac OS X e soltanto 95 in Windows. Da queste cifre Ou concludeva che Mac OS X è due volte e mezzo più fallato e vulnerabile di Windows.

Tuttavia gli advisory di Secunia nello stesso periodo sono stati 37 per Mac OS X e 151 per Windows XP. Con questo criterio, Mac OS X è quattro volte meno vulnerabile di Windows.

La ragione della discrepanza è che Apple indica tutti i programmi colpiti da una determinata falla, mentre Microsoft indica soltanto il prodotto che contiene la falla. L'articolo cita per esempio un caso in cui una singola falla Mac, presente in una parte di codice ampiamente condivisa, viene conteggiata quaranta volte, mentre ci sono falle Windows che colpiscono tutte le versioni del sistema operativo Microsoft e tutti i prodotti in esse integrati, da ME in poi, eppure vengono conteggiate una sola volta:

Thus, for example, advisory 16449 lists 40 CVEs for one actual Mac OS vulnerability in a piece of commonly called code while advisory 16210 lists only one CVE, but affects every Windows OS and integrated product released since ME.

L'articolo fa anche un'altra considerazione interessante: una falla senza un attacco (exploit) che la sfrutti non è in realtà grave quanto una falla per la quale esiste un attacco. Va turata lo stesso, ovviamente, ma a titolo preventivo. E se si usa questo criterio, le falle per Mac OS X gravi (quelle che consentono un attacco da remoto) si contano, finora, letteralmente sulle dita di due mani, secondo i dati di Metasploit. Confrontando questo dato con le migliaia di forme di attacco esistenti per Windows, il quadro risulta molto favorevole per il Mac.

All'atto pratico, insomma, un utente Mac non si deve confrontare quotidianamente con ondate di virus, worm, pagine Web trappola, e compagnia bella; un utente Windows sì. Le cose potrebbero cambiare in futuro, visti i casi recenti già raccontati, ma per il momento stanno così.

4 commenti:

Giorgio Loi ha detto...

una falla senza un attacco (exploit) che la sfrutti non è in realtà grave quanto una falla per la quale esiste un attacco

Beh, però fosti proprio tu Paolo, tempo fa, a sostenere che annunciare una falla equivale a dire a voce alta "Ehi, signori cracker, guardate che bella porta d'ingresso che c'è qui per fare danni". E a questo proposito criticasti aspramente la politica Microsoft degli aggiornamenti mensili, perché dall'annuncio di una qualsiasi falla fino al successivo aggiornamento l'utente sarebbe rimasto particolarmente esposto.

Ecco perché il tuo "sono passate solo due settimane" mi suona un po' troppo indulgente.

Anonimo ha detto...

Ecco perché il tuo "sono passate solo due settimane" mi suona un po' troppo indulgente.

Dai, anche Paolo, dopotutto, e' un essere umano....
=:-)

Premesso che sono obbligato ad usare windoze e gestire una piccola rete aziendale in cui l' ultimo virus che ha avuto cittadinanza e' stato PONG...(senza antivirus e firewall: fortuna o essermi ben incazzato con gli utenti?)

Posso dire che i tempi di risposta sono stati buoni: e' diverso gestire enormi quantita' di buchi e sporadiche falle, per apple e' una novita'.
Cio' non toglie che se dovessero apparire fori in quantita' la velocita' di turaggio non sarebbe assolutamente (anche come soluzione) accettabile.

Ricordiamoci comunque che la beta di XP aveva un meccanismo assai criticato da tutti gli analisti ficcanaso, lo stesso meccanismo poi sfruttato ampiamente dai worm e turato solo con la sp1... non giorni, ANNI. Ricordate? connetto il pc ad internet et voila' infettato! Avevo sconnesso, molto prima dell' exploit, il pc con XP da inet,e retrocesso gli altri a Win 98... se mi davano del pirata ero pronto ad infilare una scarpa in bocca al blasfemo! Certo la mia piccola rete (6pc) essendo tale e' molto flessibile. Oggi non sarebbe neppure possibile(maledetti driver inutili e farlocchi)

Il problema non e' WIN ma che tutti i SO, linux e epoc compresi, si stanno windowizzando: stanno aggiungendo caterve di roba inutile ma carina o apprezzata dagli utonti. Milioni di righe di codice di poca utilita' dall' utilizzo AUTOMATICO che non si sa' cosa combinino. Basta una piccola svista progettuale per fare danni bestiali.
L' autoplay e' esemplificativo della sua inutilita'e dannosita', cito questo perche sicuramente conosciuto da tutti.

Bye
Claudio

Giorgio Loi ha detto...

Ricordate? connetto il pc ad internet et voila' infettato!

Sì, ci sono passato anch'io purtroppo. Acquistato l'ultimo PC, appena finito di installare Winzozz avevo ben due virus nelle costole (e uno era di quelli bastardi, che inibiva l'accesso ai siti degli antivirus e impediva al mio McAfee di aggiornarsi).

Devo anche dire che è stata l'ultima volta che ho beccato un virus, e risale a quasi due anni fa.

Anonimo ha detto...

buona sera Dott Paolo,ho provato piu' volte ad iscrivermi alle news del suo blog,ma se lo faccio in automatico parte leditor di Office Outlook,ma io non l'ho mai impostato perchè non mi trovo bene1!se poi lo faccio manualemnte dal mio editor(msn) non accetta l'indirizzo topone@pobox.com,mi dice errore nel visulizzare l'indirzzo forse errato!!ma io l'ho in rubrica!!non capisco ora ci riprovo nuovamente,un saluto gabryella
p.s.

(comunque il link del blog l'ho messo nei preferiti)