Apple ha rilasciato questa notte un aggiornamento per la sicurezza dedicato a riparare alcune falle presenti in varie componenti software del sistema operativo, sia in versione client che in versione server. L’update, denominato 2005-009, modifica:
apache_mod_ssl;
CoreFoundation;
CoreTypes;
curl;
iodbcadmin;
OpenSSL;
Safari;
sudo;
syslog.
Secondo quanto si apprende le variazioni di più ampia portata sono quelle apportate al navigatore. Quattro i bug di sicurezza riparati.
Uno determinava la possibilità per il browser di modificare arbitrariamente (nel caso di nomi lunghi del file) la cartella di download, indipendentemente dalle scelte attuate dall’utente. Anche se questo non significava che un pirata informatico non potesse scegliere dove collocare un file, si poteva verificare il caso in cui un download potesse finire in una zona del sistema accessibile anche ad altri utenti.
Apple ha anche modificato il codice in maniera tale che una visita ad un sito che usa applicazioni basate su WebKit non possa più, come accadeva in precedenza, determinare un fenomeno di heap overflow, con la possilità da parte di un malintenzionato di prendere il controllo della macchina.
Un altro buco che conduceva ad un heap overflow è stato riparato nel JavaScript Engine. Sempre in Java era presente una falla che riguardava il nome del sito nella finestra di dialogo che ora non può più essere mascherato.
I file per l’aggiornamento del sistema operativo sono a disposizione sul sito degli update o via Aggiornamento Software. I sistemi operativi interessati sono Panther (Mac OS 10.3) e Tiger (Mac OS 10.4)