Cerca nel blog

2009/09/04

OS X Snow Leopard disaggiorna Flash, riapre falle

Ve l'avevo detto, che era meglio aspettare: Snow Leopard riapre falle in Flash


La nuova versione di Mac OS X, Snow Leopard, ha un problemino: installa una versione di Flash vecchia che ha varie falle di sicurezza.

La versione installata da Snow Leopard è la 10.0.23.1, mentre quella corrente è la 10.0.32.18. Lo segnala la Adobe, proprietaria del software Flash, usatissimo dai siti Internet (è quello che permette per esempio ai video di Youtube di funzionare).

La società di sicurezza Sophos ha creato un video che mostra i dettagli del problema. In particolare, va notato che il downgrade viene effettuato senza alcun avviso all'utente e avviene anche se l'utente ha installato una versione più recente.

Le versioni meno recenti di Flash hanno una serie di falle che sono state prese di mira dai vandali e dagli aggressori online per penetrare nei computer altrui.

Sophos nota che è comprensibile che Apple abbia distribuito Snow Leopard usando l'ultima versione di Flash disponibile al momento di chiudere il prodotto, ma non è comprensibile che Apple non abbia pensato di far fare una verifica al programma d'installazione prima di sovrascrivere una versione di Flash più recente.

Conviene quindi precipitarsi subito da Adobe per verificare quale versione di Flash avete e, se necessario, scaricare l'aggiornamento che tura le falle. Installatelo seguendo le istruzioni: sarà necessario riavviare i browser che usate.

36 commenti:

Raffaele ha detto...

E' chiaro che cullarsi nella falsa idea che il proprio software sia sicuro a "prescindere" è un atteggiamento pericoloso. Prima o poi se ne accorgeranno anche i "fans" più sfegatati della mela.

Anonimo ha detto...
Questo commento è stato eliminato dall'autore.
souffle ha detto...

@Raffaele: Personalmente non credo in nulla "a prescindere", quindi nemmeno nella sicurezza assoluta. Premesso ciò, sono un felice "melomane" dal lontano 1986 ed è più o meno dalla comparsa del primo virus informatico che i profeti di sventura di turno prevedono mele bacate a breve scadenza. A Roma si direbbe: "S'ariconsolano co' l'ajetto". A parte ciò, non ho mai aggiornato un sistema operativo a tamburo battente, ma ho sempre preferito aspettare che a spidocchiarlo provvedessero gli entusiasti ;-)

Paolo Attivissimo ha detto...

il check delle versione java e relativo aggiornamento sono già disponibili su aggiornamento software

Visto, ma qui sto parlando di Flash, non di Java.

martinobri ha detto...

L'articolo non mi riguarda. La foto del micione però è superlativa.
Miao a tutti.

Giuseppe ha detto...

importante saperlo, io viaggiavo con 10,0,22,87 ancora adesso, con leopard.

Daniele ha detto...

Per Raffaele:

"E' chiaro che cullarsi nella falsa idea che il proprio software sia sicuro a "prescindere" è un atteggiamento pericoloso."

Da parte mia nessun giudizio "a prescindere".
Io mi cullo sull'idea "a posteriori" che da dieci anni uso il mac e non ho MAI avuto un virus (MAI messo un antivirus), MAI accusato malfunzionamenti di sistema, MAI avuto a che fare con "trojan", "patch", "crash", ecc.
Ho usato il computer in tutta semplicità e sicurezza per ciò che mi serviva, in massimo relax.
Su questo mi posso cullare.

Fabio ha detto...

Concordo, la foto del gatto è una geniale parodia della copertina di Snow Leopard, complimenti Paolo per il tuo solito umorismo...

theDRaKKaR the bloody homeopath ha detto...

io per un attimo ho creduto che fosse un genuino esponente della specie "leopardo delle nevi" (sempre che esista)

Sheldon Pax ha detto...

Letto la cosa ieri sera e aggiornato al volo oggi appena sollevato il monitor al portatile. Snow Leopard non ha ancora tutte le macchioline a posto ma comunque parte meglio di come partì il predecessore. L'unico scherzetto poco gradito è stato disattivarmi il FW. per me potreste già buttrvi dalla 10.6.1 se non volete prendervi la briga di scaricare l'aggiornamento di flash da adobe :-)

Unknown ha detto...

Grazie per la segnalazione; aggiornamento effettuato in 30 secondi circa.
E' curioso come tutti i software abbiano l'opzione (praticamente automatica) di verifica dell'aggiornamento del software e Flash no.
Comunque sia, io faccio parte degli entusiasti e ne sono ben contento :-)
Passato nei giorni scorsi da un iMac 20" ad un 24", ho ricevuto l'aggiornamento a Snow Leopard in pochi giorni e ad un prezzo ridicolo.
Dopo decenni di windows, sono FELICE di avere fatto il grande passo un paio d'anni fa e non tornerei mai più indietro.
Ciao!
Paolo

puffolottiaccident ha detto...

Flash é come la donna in mutande: se quando ti porge il POS tu dici: "vai avanti comunque", gira i tacchi e se ne va.

Nel momento in cui il computer sa interpretare i comandi in AS e li esegue senz´altro... l´unica precauzione sensata é non accettare caramelle dagli sconosciuti.

Lady Lillina ha detto...

Paolo il gatto della foto è da urlo!
Complimenti per il modello!
XDDDD

Edoardo Volpi Kellermann ha detto...

Paolo, per favore dovresti sempre specificare che queste potenziali "falle" non hanno fino ad ora *mai* causato nei computer Mac una pandemia di quelle cui gli utenti Windows sono purtroppo abituati.
Si è sempre tratta di falle chiuse in pochi giorni e che comunque hanno causato pochi sporadici problemi. Mac OsX non è sicuro "a prescindere* dai comportamenti dell'utente, resta comunque il *più sicuro* sistema operativo attualmente disponibile.
Scusa se è poco.
Se posso citare un articolo interessante (e relativi commenti):
http://www.macworld.it/blogs/ping/?p=2766

Edoardo Volpi Kellermann ha detto...

Paolo, per favore dovresti sempre specificare che queste potenziali "falle" non hanno fino ad ora *mai* causato nei computer Mac una pandemia di quelle cui gli utenti Windows sono purtroppo abituati.
Si è sempre tratta di falle chiuse in pochi giorni e che comunque hanno causato pochi sporadici problemi. Mac OsX non è sicuro "a prescindere* dai comportamenti dell'utente, resta comunque il *più sicuro* sistema operativo attualmente disponibile.
Scusa se è poco.
Se posso citare un articolo interessante (e relativi commenti):
http://www.macworld.it/blogs/ping/?p=2766

Unknown ha detto...

Ciao, sono uno "switcher" e non torno indietro.
Per quanto riguarda la notizia, BUONO A SAPERSI.
Ciao.

stefano ha detto...

Se andate sul sito di Adobe, alla pagina che elenca i problemi di sicurezza del Flash Player (http://www.adobe.com/support/security/#flashplayer) troverete elencati 4 avvisi, nessuno dei quali si applica alla versione che viene installata da Snow Leopard.
Quindi qual e' il problema, esattamente?

Unknown ha detto...

Premetto che sono utente Windows (più XP che Vista), utente Linux (nella veste di Ubuntu, Debian e Knoppix), utente BSD (nella veste di FreeNAS) e utente scarso MAC (che in realtà come tutti sanno è un BSD "in tiro", nella veste dei 4 o 5 Macbook e iPhone di amici e conoscenti che vogliono fare questo o quello e non sanno come).
La realtà è che la massa degli utenti MAC è costituita da capre (informaticamente parlando).
Usano Safari, iTunes, forse il finder quando non sanno dov'è finito l'mp3, pardon, l'acc di Madonna ... e basta.
I power user sono la minoranza, sono smanettoni per definizione e lo sarebbero (e probabilmente lo sono) comunque anche su altre piattaforme.
Il valore aggiunto del Mac (che ricordiamolo, è un PC) sta nell'estetica e nell'interfaccia. Perché? Perché l'utente normale è passivo, e non vuole sapere cosa c'è sotto la buccia.
Qui che c'è gente che si lancia in affermazioni intelligenti come "sicuro a priori", "mai patch o crash", ecc ecc il che fa ben capire la differenza fra un utente preparato e critico e un fedele tifoso.
Chi prevede a breve mele bacate sbaglia perché pone la cosa su un piano temporale anziché quantitativo. Io dico che la mela avrà grossi falli da defecare quando e se la sua quota di mercato muoverà di parecchio dal misero 10% che è ora verso percentuali "appetibili" da parte dei cracker: chi perde tempo a sviluppare codice apposito per colpire malevolamente un parco installato di solo il 10% del mercato? Solo un povero imbecille. Ecco che il Mac è reso sicuro non tanto dalla sicurezza del suo software (che viene continuamente messa alla berlina, google vi aiuterà) ma dalla sua scarsa diffusione. Quando e se metà del mondo userà Mac vedrete che spunterà iVerderame, il più fico antivirus del mondo.

theDRaKKaR the bloody homeopath ha detto...

che in realtà come tutti sanno è un BSD "in tiro"

:-)

un giorno ero andato a fare assistenza ai grafici e gli ho chiesto "dove cavolo è la shell?", ovviamente avrei potuto chiedere che ora è in arabo (كم الساعة؟) e avrei avuto lo stesso successo

vabé anche io però... dovevo leggere la configurazione di rete e mi è sembrato ovvio usare la shell, che primitivo :-D

Anonimo ha detto...

questa storia del parco installato, tirata fuori ogni giro di ventilatore, non sta in piedi.
certo è vero che i criminali informatici odierni hanno molto più interesse nello zombizzare qualche milione di computer che non andare a vedere i miei estratti conto nella cartella documenti, ma questo non spiega per esempio perchè a numeri normalizzati le piattaforme linux hanno molte più falle di sicurezza dei mac.
se qualcuno mi viene a dire che ci sono più linux in giro che mac...
in più la tiritera era uguale quando eravamo il 2,5% del mercato: "VEDREEEEETEEEE CHE SE SOLO RADDOPPIATE LA QUOTA DI MERCATO CI SARA' IL BOOOOOOOM DEI VIRUS PER MAC!!!!"

raddoppiata ed oltre, ancora nulla in Vista... :D :D

la verità è, molto semplicemente, che il sistema operativo mac, Darwin, ha basi ben più solide di un qualunque Dos, struttura logica su cui è stato costruito windows e tuttora ne è il progenitore, anche se dos non è più il vero sistema operativo.
oltre a questo c'è la standardizzazione hardware, per cui è alquanto improbabile che una scheda video fatta in un o scantinato in cina mandi in vacca tutto il sistema con un driver scritto coi piedi.
ed infine c'è la buona abitudine del mondo mac (che purtroppo con l'aumento degli switcher si sta perdendo) di capire il concetto del "pago per la qualità", tanto hardware che software, per cui la suite di lavoro la pago un prezzo ragionevole ma la compro, non la scarico craccata da chissàchi in rete, con tutti i rischi connessi...
mal che vada mi rivolgo all'open source, sempre a braccetto con le mele.
andate a vedere quante copie di office sono originali nel mondo windows...
tutto questo ovviamente non potrà mai risolvere il problema dell'utonto che trova in rete il file elisabettacanalisnuda.jpg.app, ci clicca sopra e scrive pure la password, senza chiedersi come mai se è solo una foto, ma questo non può essere considerato "problema di sicurezza del sistema operativo".

per quanto riguarda il fatto che gli utenti mac "sono delle capre", ti invito a guardare come vengono utilizzati i computer nella media degli uffici e delle aziende.
in realtà l'UTENTE MEDIO è una capra, tanto su mac quanto su win.
il mac per di più ha la scusante di essersi sempre rivolto, fina dalla sua creazione a "the rest of us", gli altri, quelli che non sanno scrivere in riga di comando, quelli che non gliene frega niente di smanettare e di lavorare per far funzionare il computer, ma vogliono semplicemente accenderlo, usarlo e spegnerlo.
quindi se anche gli utenti mac fossero delle capre sarebbe ben più scusati degli utenti windows.
a dire il vero però io non penso affatto che gli utenti mac siano capre, anzi, mediamente hanno una cultura informatica doppia rispetto ad un utente windows: in qualunque modo guardi la cosa infatti, ti capiterà sempre e comunque di dover usare windows da qualche parte, mentre non è affatto detto che nella tua vita tu sia mai costretto ad usare un mac.
l'utente mac quindi deve saper scendere a patti con entrambi i mondi, mentre l'utente windows se sta bel bello nella sua ignoranza dell'esistenza di altro oltre al tasto start.
resta il fatto che, nella stragrande maggioranza dei casi, l'utente sprovveduto potrebbe fare molti meno danni su un mac che su un pc, e se io fossi il responsabile it di un'azienda di certo non monterei macchine con windows...

Marco Casati ha detto...

Uhm mi sembra troppo "allarmistico"

Uso mac e indietro a Win non ci torno

Edoardo Volpi Kellermann ha detto...

Caro Musikele.

uso dal 1992 Macintosh, senza alcun antivirus, e non ho mai avuto problemi. Basta un minimo di attenzione e non installare schifezze.

Vivi tranquillo col tuo mac :-)

ATMB ha detto...

Sembra che la versione che è stata inserita nel DVD di SL non abbia vulnerabilità:

http://daringfireball.net/2009/09/more_snow_leopard_flash

http://geekable.com/blog/2009/09/05/i_gots_my_magic_underpants.html

http://geekable.com/blog/2009/09/04/dont_call_it_a_comeback.html

tl;dr: Non ci sono falle conosciute nella versione distribuita con Snow Leopard.

Edoardo Volpi Kellermann ha detto...

A quanto pare è una bufala pure la segnalazione :-)

Adobe ha pubblicato quattro bollettini di sicurezza riguardanti Flash 10. Uno è di febbraio ed è superato; gli altri tre sono di fine luglio.

Di questi tre questo riguarda solo Windows:
http://www.adobe.com/support/security/advisories/apsa09-04.html

Ne rimangono due:
http://www.adobe.com/support/security/advisories/apsa09-03.html e
http://www.adobe.com/support/security/advisories/apsb09-10.html

Tutte e due parlano di Flash 10.0.22.87

La vecchia versione installata su Snow Leopard è la 10.0.23.1, successiva e non interessata da questi problemi.

Ciò non toglie che aggiornare va sempre bene, ma come al solito anche qui si è costruita una notizia sul nulla (e c'è cascato anche Paolo :-p

(Grazie a Lucio Bragagnolo per la sua precisione, come sempre)

Quanto alla solita tiritera di Sad0felix sulla presunta proporzionalità fra diffusione del Mac Os ed interesse per gli Hacker (anche se qui si dovrebbe parlare di cracker) ho già citato l'articolo sull'argomento che evidentemente Sad0felix non ha letto, e quindi per sua comodità ricito:

http://www.macworld.it/blogs/ping/?p=2766

Al di là delle considerazioni statistiche, mi pare che l'interesse che ruota ultimamente attorno alla piattaforma Apple sia più che sufficiente per qualsiasi cracker o gruppo di cracker in cerca di fama e fortuna.

Il fatto che ancora non esiste una pandemia su Mac (nonostante siamo per la maggioranza citrulli, secondo l'ottimo Sad0felix) la dice lunga sulla sua sicurezza rispetto agli altri OS, senza "se" e senza "ma".

lux ha detto...

Paolo,
fermo restando che è sempre meglio aggiornare, il downgrade di Mac OS X non "riapre" alcuna falla ufficialmente nota.

lux

Paolo Attivissimo ha detto...

Evk, Atmb,

grazie delle segnalazioni. Forse è più corretto dire che non ha vulnerabilità note al pubblico.

Sophos, nella pagina linkata nel mio articolo, dice che la versione di Flash inclusa in SL è "known not to be secure" e "not patched".

Cito: "Unfortunately during the course of that update (and unknown to you) Apple downgraded your installation of Flash to an earlier version (version 10.0.23.1), which is known not to be secure and is not patched against various security vulnerabilities."

Da una parte abbiamo Sophos che dice che la 10.0.23.1 è vulnerabile; dall'altra abbiamo fonti che non dicono "non è vulnerabile", ma dicono "non abbiamo finora determinato esattamente quale vulnerabilità ha".

Per ora, quindi, le preponderanza dei dati è a favore di quello che ho scritto, ma se ci sono aggiornamenti e chiarimenti ulteriori, ditemelo che rettifico.

Edoardo Volpi Kellermann ha detto...

Caro Musikele.

uso dal 1992 Macintosh, senza alcun antivirus, e non ho mai avuto problemi. Basta un minimo di attenzione e non installare schifezze.

Vivi tranquillo col tuo mac :-)

Edoardo Volpi Kellermann ha detto...

Beh, dato che comunque non costa nulla, direi di applicare il principio di prudenza e comunque aggiornare :)

theDRaKKaR the bloody homeopath ha detto...

video per i fanatici della Mela

apertura di un apple store nel milanese

Santino83 ha detto...

Mah io ho comprato con preordinazione Snow e non sono mai stato così felice di utilizzare un OS in vita mia... tra l'altro è anche la prima vota che compro un os senza comprare anche il pc assieme...

la storia delle vulnerabilità lascia il tempo che trova, a rigor di logica allora uno non dovrebbe mai installare un os perchè probabilmente ci sarà semrpe una vulnerabilità da scoprire e da sfruttare.. come dice il proverbio:

CHI NON RISICA NON ROSICA...

Max Senesi ha detto...

beh io sono aggiornato con l'uktima versione flash, ma sto già aspettando ardentemente la nuova versione. Flash e javascript sembrano essere due tecnologie concepite in modo abbastanza insicuro, come la regina di tutte le applicazioni: finestre, un nome una garanzia.
Grandissimo il miciooo.
E' più di un anno che voglio sapere: Paolo dove le prendi ste fotoooo?
:D

Miao a tutti

Paolo Attivissimo ha detto...

E' più di un anno che voglio sapere: Paolo dove le prendi ste fotoooo?

Un buon giornalista non rivela mai le proprie fonti :-)

theDRaKKaR the bloody homeopath ha detto...

dai mi fa pena

tie'

Mr.TFM ha detto...

E pensare che il mio Macbook Pro quando riproduco un video flash su youtube (sia esso in hd o no) diventa una centrale atomica, la cpu frulla alle stelle e la durata della batteria si dimezza....

Edoardo Volpi Kellermann ha detto...

Accidenti Mr.TFM, che razza di siti vai a vedere?

Il mio "vecchio" PB17 2.16 Ghz (ottobre 2006) sembra cavarsela meglio, nella media...

oscar ha detto...

raffaele
qui l'unico giudizio a prescindere è il tuo: pensi che chi usa Mac sia sempre e comunque un irresponsabile. Ecco l'unico vero pregiudizio.