Google rivela pubblicamente una falla di MacOS, ma la patch è in arrivo

Google Project Zero ha colpito ancora: una falla di sicurezza presente nel kernel di macOS è infatti stata rivelata pubblicamente dopo che l’azienda di Cupertino ha mancato di risolvere la vulnerabilità dei 90 giorni canonici fissati dal team come deadline. La segnalazione alla casa della Mela morsicata risale infatti alla fine di novembre scorso. Apple ha comunque fatto sapere che, seppur in ritardo sulla tabella di marcia, una patch di sicurezza sarà rilasciata in tempi brevi, anche se non ha fornito al momento scadenze precise.

“Abbiamo contattato Apple per questo problema, ma ad oggi non è disponibile alcun fix. L’azienda comunque è intenzionata a risolverlo con una release futura e stiamo lavorando fianco a fianco per valutare le diverse opzioni relative alla patch. Aggiorneremo l’issue tracker non appena avremo ulteriori informazioni”, ha commentato Ian Beer, un membro di Project Zero.

Nel mirino c’è l’esecuzione delle operazioni copy-on-write all’interno del kernel XNU, un metodo per l’ottimizzazione del sistema che consente a più processi che richiedono la stessa risorsa di accedere a una sola copia anziché crearne tante quante sono le richieste.

I ricercatori hanno però scoperto che, nel momento in cui si apportava una modifica all’immagine del file system l’utente non riceveva alcuna segnalazione: in pratica quindi un qualsiasi malintenzionato può potenzialmente entrare nel sistema, manometterlo o appropriarsi di dati sensibili senza che l’utente se ne accorga. A parziale giustificazione di Apple comunque c’è da dire che la procedura per sfruttare la falla è così complessa che difficilmente qualcuno l’avrà già sfruttata o stia pensando di farlo.