[NEWS] Apple corregge alcune falle in Mac OsX

[c.m.g]

01 Agosto 2008 ore 11:21 di: Emanuele Menietti

Spoiler:

Quote: La società di Cupertino ha da poco rilasciato un aggiornamento di sicurezza per i suoi sistemi operativi Tiger e Leopard. Il nuovo update corregge la grave falla riscontrata un mese fa in DNS e alcuni bug minori che affliggevano gli OS della mela

Tempo di aggiornamenti di sicurezza per Apple. Nel corse delle ultime ore, infatti, la società di Cupertino ha rilasciato un update sia per il sistema operativo Tiger che per la nuova versione Leopard. L'aggiornamento di sicurezza 2008-005 risolve, in primo luogo, una falla nella gestione dei DNS già riscontrata da tempo e risolta nel corso delle ultime settimane anche da altre compagnie attive nell'IT e una dozzina di bug minori di Mac OsX.


Il malfunzionamento legato ai DNS era stato portato alla luce dall'esperto di sicurezza Dan Kaminsky di IOActive e, durante l'intero mese di luglio, aveva tenuto impegnate tutte le principali società dell'industria informatica e i fornitori di connettività alla Rete, interessati a risolvere il prima possibile la falla riscontrata in uno degli elementi principali per il funzionamento di Internet. Senza una correzione, infatti, un utente malintenzionato avrebbe potuto dirottare la navigazione da un sito sicuro a una pagina web appositamente creata per nuocere ai sistemi o sottrarre informazioni riservate.

BIND (Berkeley Internet Name Domain), il server DNS principalmente utilizzato dai sistemi Unix e dai suoi derivati, è stato aggiornato alla versione 9.4.2-P1 per Leopard e alla 9.3.5-P1 per Tiger, e può ora gestire in maniera random un maggior numero di porte, riducendo sensibilmente la possibilità di attacchi da parte di utenti malintenzionati. La correzione dovrebbe dunque porre rimedio al malfunzionamento in DNS segnalato nella prima settimana di luglio dall'esperto in sicurezza informatica Kaminsky.

L'aggiornamento rilasciato da Apple corregge un errore di progettazione nelle librerie di Open Scripting Architecture che, in alcune circostanze, avrebbe potuto consentire a un utente di eseguire comandi anche in assenza delle necessarie autorizzazioni per procedere. Una patch per Data Detectors Engine risolve un problema che avrebbe potuto causare un blocco dell'applicativo in seguito all'apertura di file appositamente modificati per sortire tale scopo.

L'update di sicurezza corregge, inoltre, una serie di malfunzionamenti riscontrati sia in OpenLDAP che in OpenLSS. I bug, ora neutralizzati, avrebbero potuto consentire a un utente malintenzionato di forzare la chiusura degli applicativi. Per gli utenti di Leopard, l'aggiornamento porta anche una nuova versione di PHP che corregge alcune vulnerabilità riscontrate nell'ultimo periodo, risolvendo una grave falla che avrebbe potuto consentire l'esecuzione di codice arbitrario all'insaputa dell'utente. Infine, anche QuickLook è stato aggiornato per correggere un problema legato ai file di Microsoft Office appositamente modificati per mascherare un file malevolo. La falla avrebbe potuto consentire la chiusura inaspettata di alcuni applicativi o l'esecuzione di codice arbitrario pericoloso per la sicurezza dell'ambiente operativo.

Come sempre accade per gli aggiornamenti di sicurezza, Apple consiglia di installare quanto prima sui propri Mac il suo ultimo update. La serie di patch può essere scaricata dal sito web della società di Cupertino o direttamente dal proprio Mac attraverso la funzione "Aggiornamento Software".




Fonte: WebNews

[c.m.g]

ripreso da secunia:

http://secunia.com/advisories/31326/