Martedì scorso, Apple ha aggiornato il suo sistema operativo OS X Mountain Lion, probabilmente per una delle ultime volte, con una combinazione di compatibilità, correzioni di bug e patch per rettificare alcune vulnerabilità. L'aggiornamento a OS X 10.8.4 - il primo da metà marzo - è stato accompagnato da soli aggiornamenti di sicurezza sia per OS X 10.7, alias Lion, e OS X 10.6, meglio conosciuto come Snow Leopard.
Mountain Lion ha ricevuto almeno 16 correzioni a bug che non mettevano a repentaglio la sicurezza - come specificato da Apple in un advisory - e vanno da una migliore sincronizzazione del server tra Calendar ed Exchange al consentire chiamate video con FaceTime ai numeri telefonici non statunitensi. Un paio di correzioni hanno migliorata l'affidabilità della connessione alle reti Wi-Fi, mentre altre correggono bug "irritanti" come il rifiuto dei Mac di andare in modalità di sospensione dopo aver usato Boot Camp e l'abitudine della sua chat di mescolare l'ordine di messaggi.
In attesa della nuova versione di MacOS, arrivano un altro po' di patch di sicurezza e non. E sì a che sentire Cupertino non servirebbero...
Sul versante sicurezza, OS X 10.8.4 e stato patchato per chiudere 31 vulnerabilità in Mountain Lion, di cui 17 sono stati etichettati con la frase "possono portare all'esecuzione di codice arbitrario", ovvero il modo in cui Apple definisce i bug davvero pericolosi. La maggior parte delle patch sono state prodotte per correggere problemi in componenti open-source integrati in Mountain Lion, come OpenSSL (13 patch) e Ruby (8 patch), rispettivamente una implementazione open-source di crittografia SSL e un linguaggio di programmazione.
Altre quattro patch hanno corretto bug del media player QuickTime di Apple. Una delle patch per OpenSSL disabilitata la compressione del protocollo per bloccare eventuali attacchi. Apple ha riconosciuto che ci sono stati "attacchi noti" - utilizzando tecniche rivelate lo scorso settembre da una coppia di ricercatori di sicurezza. Soprannominato CRIME, questo tipo di attacco può decifrare i cookie di sessione di connessioni HTTPS apparentemente sicure.
Nascosto in OS X 10.8.4 c'è stato anche un cambiamento nel modo in cui il sistema operativo gestisce l’applet Java Web Start e che rappresenta l'ennesimo tentativo da parte di Apple d'ostacolare un numero crescente di attacchi che sfruttano le vulnerabilità di Java. "A partire da OS X 10.8.4, le applicazioni Java Web Start scaricate da Internet dovranno essere firmate con un certificato ID Developer", ha dichiarato Apple.
"Gatekeeper controllerà le applicazioni Java Web Start scaricate e bloccherà questo tipo di applicazioni se non sono correttamente firmate". Gatekeeper è in Mountan Lion l'unico strumento di sicurezza progettata per bloccare l'installazione di malware. Per fare questo impone a tutti i tipi di programmi di essere firmati digitalmente. Per impostazione predefinita, solo il software scaricato dal Mac App Store o firmati con certificati di Apple, forniti agli sviluppatori registrati, può essere installato su Mountain Lion.