macOS, un bug di sicurezza attivo per 90 giorni

macOS, un bug di sicurezza attivo per 90 giorni

Secondo Google Project Zero, Apple avrebbe lasciata irrisolta una falla nel kernel di macOS che permette di prendere il controllo del computer

Quasi cinque anni fa, Google ha fondato il suo gruppo di ricerca Project Zero per ridurre l’impatto degli attacchi zero-day sugli utenti. Da allora ha segnalato numerosi bug a società come Apple, rimproverando in particolare i tempi fin troppo lunghi che le big sono solite prendersi per risolvere le vulnerabilità dei propri sistemi. Nello specifico della Mela, Project Zero di recente ha avvisato Apple di un bug del kernel macOS, che può consentire a un utente malintenzionato di assumere il controllo del computer, modificando adeguatamente un’immagine disco montata, per eseguire codice arbitrario, sfruttando il sistema di gestione della memoria di macOS. Il problema? Dopo 90 giorni è ancora presente.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Cosa succede

La vulnerabilità riguarda XNU, il kernel ibrido utilizzato nel sistema operativo open source Darwin, che Apple usa come base per il suo sistema operativo macOS. Il motivo per cui è così grave è che gli utenti montano sempre le immagini del disco, ma macOS non le ricontrolla quando le elimina automaticamente e ricarica i contenuti nel corso della gestione della sua memoria limitata. Per questo motivo, il Mac non potrà mai accorgersi che l’utente sta caricando codice modificato e potenzialmente dannoso da eseguire.

Per quanto pericoloso possa sembrare, Project Zero afferma che Apple è a conoscenza del problema e prevede di risolverlo in una futura versione di macOS, anche se sono già trascorsi 90 giorni da quando la vulnerabilità è stata scoperta e segnalata alla società. I ricercatori stanno lavorando con la Mela su una patch, ma non c’è ancora una timeline per il suo rilascio. Ricordiamo come il mese scorso, un ricercatore tedesco ha criticato la multinazionale di Cupertino per non aver preso in considerazione degli errori per macOS, rifiutandosi di rivelare un grave bug relativo alla password, poi corretto.

Leggi anche:  Kaspersky indica i principali fattori che aumentano l’efficacia degli attacchi APT nel settore industriale