Apple pronta a risolvere il bug di "escalation privilege" con Yosemite 10.10.5

Apple pronta a risolvere il bug di "escalation privilege" con Yosemite 10.10.5

Il prossimo aggiornamento di Yosemite conterrà la patch per tappare la falla. Intanto un ricercatore di sicurezza ridimensiona la gravità di Thunderstrike 2, un altro bug venuto a galla nei giorni scorsi

di Andrea Bai pubblicata il , alle 16:31 nel canale Apple
Apple
 
Apple pronta a risolvere il bug di "escalation privilege" con Yosemite 10.10.5

Apple si sta preparando a risolvere il bug presente nel sistema operativo Mac OS X Yosemite e che, come abbiamo raccontato nei giorni scorsi, può portare ad una situazione di privilege escalation e al conseguente rischio di installare software dannoso all'insaputa dell'utente.

La patch, scrive il Guardian, verrà inserita nel prossimo aggiornamento di sicurezza/mantenimento Mac OS X 10.10.5: la terza beta da poco nelle mani degli sviluppatori, infatti, non mostra alcuna traccia del bug dissipando quindi le preoccupazioni di chi ha temuto che il problema non avrebbe visto soluzione fino all'autunno con l'arrivo della prossima major release di OS X, El Capitan.

Apple ha inoltre adottato alcune misure temporanee per prevenire ulteriori problemi derivanti dalla vulnerabilità (che come abbiamo visto è già stata pubblicamente sfruttata): ha infatti disposto la revoca delle credenziali a quegli sviluppatori che la dovessero sfruttare e ha stabilito l'inserimento di qualsiasi app in grado di sfruttarla nella propria lista di malware regolarmente aggiornata. In questo modo anche gli utenti che non sono a conoscenza del problema dovrebbero essere protetti dagli attacchi fino a quando non verrà rilasciata una patch correttiva.

Nei giorni scorsi è inoltre emerso un secondo bug, chiamato Thunderstrike 2, che ha permesso a due ricercatori di creare un worm proof of concept che può infettare il firmare del computer usando una pagina web o un messaggio di posta elettronica creati ad-hoc e poi diffondersi tra sistemi Mac sfruttando una periferica Thunderbolt come "portatore sano" dell'infezione. La possibilità di infettare i sistemi a livello firmware rende estremamente complicata la sua rimozione in quanto può resistere ad aggiornamenti firmware e software ed essere in grado eventualmente di reinstallarsi a piacimento.

Il bug che consente di infettare il sistema da remoto, tramite pagina web o messaggio e-mail, è in realtà già stato risolto nelle scorse settimane con un aggiornamento di sicurezza ad OS X 10.10.4, mentre resta ancora presente la falla che permette al worm di diffondersi tramite periferiche Thunderbolt. Una volta presente sul sistema, infatti, il worm va a nascondersi nell'option ROM di eventuali dispositivi periferici connessi su interfaccia Thunderbolt i quali possono quindi infettare altri sistemi a cui vengono collegati.

Intanto Rich Mogull, esperto di sicurezza, osserva che a fronte dell'aggiornamento distribuito per Mac OS X 10.10.4, la gravità di Thunderstrike 2 e soprattutto la sua capacità di diffusione è comunque ridimensionabile dal momento che richiede obbligatoriamente una connessione Thunderbolt che viene usata per lo più in ambiti abbastanza ristretti e con dispositivi che con ancor meno incidenza vengono condivisi tra sistemi differenti.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

8 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
emiliano8406 Agosto 2015, 21:52 #1
Bhe mi pare una cosa normale, ci mancherebbe pure che se ne escono con un "it's not a bug, it's a feature"
Simonex8407 Agosto 2015, 08:15 #2
E' curioso però leggere sempre questa "it's not a bug, it's a feature" legata ad Apple quando in realtà è stata coniata in alcuni bug report di Word for Windows della tanto amata Microsoft

https://en.wikipedia.org/wiki/Undocumented_feature
emiliano8407 Agosto 2015, 08:31 #3
Originariamente inviato da: Simonex84
E' curioso però leggere sempre questa "it's not a bug, it's a feature" legata ad Apple quando in realtà è stata coniata in alcuni bug report di Word for Windows della tanto amata Microsoft

https://en.wikipedia.org/wiki/Undocumented_feature


questa non la sapevo, ma se leggi bene:

In other cases, software bugs are referred to jokingly as undocumented features. ("It's not a bug; it's an undocumented feature!" [2] This usage may have been popularised in some of Microsoft's responses to bug reports for its first Word for Windows product,[3] but doesn't originate there


le parti in grassetto "scherzosamente", "non e' stata coniata li" ... inoltre c'e' una bella differenza da usarla seriamente, rivolta ai propri utenti
gd350turbo07 Agosto 2015, 09:37 #4
Ma non fu il mitico padre della telefonia moderna, a dire, non è il telefono che funziona male, siete voi che non l'impugnate correttamente ?
Lombo9107 Agosto 2015, 09:54 #5
Originariamente inviato da: gd350turbo
Ma non fu il mitico padre della telefonia moderna, a dire, non è il telefono che funziona male, siete voi che non l'impugnate correttamente ?


No.
Pero` se avesse detto qualcosa sul non usare le virgole a cazzo di cane forse ora ci sarebbero frasi piu` leggibili nel mondo.
emiliano8407 Agosto 2015, 10:04 #6
Originariamente inviato da: Lombo91
No.
Pero` se avesse detto qualcosa sul non usare le virgole a cazzo di cane forse ora ci sarebbero frasi piu` leggibili nel mondo.


no... se si sta' a guardare alla frase precisa

http://edition.cnn.com/2010/TECH/mo...onse/index.html
gd350turbo07 Agosto 2015, 10:24 #7
Pero` se avesse detto qualcosa sul non usare le virgole a cazzo di cane forse ora ci sarebbero frasi piu` leggibili nel mondo.

Visto che siamo in vena di fare i professori, ti hanno detto che esistono le lettere accentate ?
ò ù
Simonex8407 Agosto 2015, 10:37 #8
Originariamente inviato da: gd350turbo
Ma non fu il mitico padre della telefonia moderna, a dire, non è il telefono che funziona male, siete voi che non l'impugnate correttamente ?


No quello era il cavallo di battaglia di chi commentava da fuori (haters), lui si è concentrato sul fatto che nessun telefono è perfetto (ammettendo l'esistenza del problema) e facendo vedere i dati di AT&T sulle chiamate perse ha dimostrato che ne perdeva comunque meno degli altri produttori (per esmepio Nokia).

Inoltre ha aggiunto che chi non era soddisfatto del prodotto poteva farsi rimborsare, ed in più si è messo a regalare quegli orribili bumper colorati.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^