Tom's Hardware Italia
Sicurezza

Google pizzica Apple: pubblicate tre vulnerabilità di OS X

Google ha scovato e pubblicato online tre vulnerabilità di OS X. Apple ne è stata messa al corrente, ma non è chiaro se abbia già aggiornato il proprio sistema operativo per respingere le potenziali minacce.

Con la propria "Justice League" della sicurezza, meglio nota come Project Zero, Google ha deciso di scovare le vulnerabilità nei software di altre aziende. L'obiettivo è nobile, ma le modalità con cui agisce non sempre mettono tutti d'accordo, tanto che nei giorni scorsi ci sono state scintille con Microsoft riguardo un bug di Windows 8.1.

Apple bug OS X

La storia potrebbe ripetersi con Apple. Google ha infatti pubblicato nei giorni scorsi tre vulnerabilità del sistema operativo della Mela (qui, qui e qui). Il sito Arstechnica non esclude si possa trattare di falle zero day (per cui non esiste al momento una contromisura) e a un primo sguardo nessuna di queste appare altamente critica, dato che "tutte e tre sembrano richiedere che l'attaccante abbia già accesso all'obiettivo".

La prima vulnerabilità, secondo la fonte, potrebbe non essere presente in OS X Yosemite, ma l'advisory di Google non entra nei dettagli e Apple non è solita discutere apertamente di sicurezza. Quindi non c'è certezza. "Gli exploit potrebbero comunque essere combinati con attacchi separati per elevare privilegi di livello più basso e ottenere il controllo su Mac vulnerabili", aggiunge Arstechnica.

Apple MacBook Air 13,3 Apple MacBook Air 13,3"
Apple MacBook Pro 13 Apple MacBook Pro 13"

Il problema di fondo però è che Google ha pubblicato un codice "proof of concept" che potrebbe offrire molti dettagli ai malintenzionati su come confezionare attacchi per tali vulnerabilità. Le falle, assicura Google, sono state comunicate ad Apple il 20, 21 e 23 ottobre scorsi. I bollettini, invece, sono stati pubblicati dopo 90 giorni come da "politica" del team Project Zero.

Questo periodo di tempo non assicura che Apple abbia già risolto le vulnerabilità, anzi. La diatriba con Microsoft insegna. Che Google voglia mettere un po' di sale sulla coda dei concorrenti in modo da ridiscutere, tutti insieme, le regole del gioco in fatto di sicurezza?