Dopo le critiche di eEye, che aveva criticato Apple per le metodologie con cui fornisce informazioni sui bug nella sicurezza dei suoi prodotti, Cupertino finisce di nuovo nel mirino di un’altra società che si occupa di rischi informatici. Si tratta di @Stake secondo cui il rilascio dell’aggiornamento rilasciato ieri e finalizzato proprio a riparare cinque vulnerabilità dell’OS non è stato accompagnato da un adeguata comunicazione esplicativa.
Secondo @Stake le spiegazioni fornite da Apple sul patch erano generiche e vaghe al punto da impedire a chi è potenzialmente interessato di capire esattamente quale sia il rischio cui va incontro se non lo aggiorna il suo sistema operativo. Ad esempio uno dei bug, scoperto proprio da @Stake, potenzialmente può consentire un buffer overflow e il controllo del sistema da parte di un pirata informatico, ma Apple descrive la correzione come finalizzata ‘a migliorare la gestione delle password’.
‘Sembra che alla Apple pensano che tutti siano sempre pronti ad aggiornare i loro sistemi operativi, qualunque cosa essi rilascino, ma il mondo non funziona in questo modo’, ha detto Chris Wysopal, uno dei responsabili di @Stake. Secondo Wysopal Apple dovrebbe essere più chiara nel rendere noto perché si deve applicare il patch, fornendo ai clienti tutti i parametri necessari, compresi i rischi cui si può andare incontro.
Nei giorni scorsi anche l’autorevole eEye aveva rivolto ad Apple la stessa accusa. In quel caso Apple aveva rilasciato un aggiornamento (QT 6.5.1) affermando che esso impediva ad un filmato .MOV ‘mal scritto’ di mandare in crash l’applicazione. Secondo eEye in realtà il bug di QuickTime era in grado di aprire le porte del sistema operativo ad un virus o un cavallo di troia.