Apple chiude i buchi di sicurezza scoperti nel corso degli ultimi giorni. A provvedere a ripristinare la solidità del sistema operativo è un patch denominato sequenzialmente Security Update 2006-001, rilasciato ieri sera.
Il principale bug riparato è quello che permetteva ad un malintenzionato di indurre Safari a scaricare un file maligno in grado di lanciare il terminale per eseguire compiti distruttivi, nascondendolo dietro ad una icona innocua. L’aggiornamento ripara lo stesso bug presente in Safari e modifica la maniera con cui iChat tratta il trasferimento dei file, così da impedire la diffusione del “concept” virus Leap.A.
L’aggiornamento presenta una vasta gamma di modifiche a varie componenti del sistema operativo, specialmente nella catena che poteva favorire la veicolazione del codice malevolo (automount e launch services). Sono stati riparate anche altre falle di sicurezza minori, quindi in globale sono stati interessati le componenti:
apache_mod_php
automount
Bom
Directory Services
iChat
IPSec
LaunchServices
LibSystem
loginwindow
Mail
rsync
Safari
Syndication
L’aggiornamento, disponibile per tutte le versioni dell’OS (client, server, Mac OS X per Intel ed anche per il precedente Mac OS 10.3.9) è a disposizione sia via Software Update sia dall’apposita pagina che Apple dedica all’updater. Per applicarla su Tiger si deve avere a disposizione la versione 10.4.5 rilasciata alcuni giorni fa.
Fa piacere osservare come il tempo di risposta degli ingegneri di Cupertino sia stato inferiore ai dieci giorni, per una vulnerabilità che non curata a dovere, poteva divenire critica minando l’elevata sicurezza generale del Sistema Operativo di Apple.
Come noto, altre aziende non si muovono con la necessaria tempistica, lasciando scoperti bug e falle per periodi inverosimilmente lunghi.
Naturalmente l’applicazione dell’aggiornamento non deve far cadere l’utente in un illusorio stato di falsa sicurezza. E’stata solo interrotta la catena di automatismi che poteva creare dei danni all’insaputa dell’utente, ma è ovvio che ogni azione volontaria dell’utilizzatore non può essere interpretata e bloccata.
Cliccando su un’immagine che sembra tale, ma in realtà chiede la password da Amministratore o peggio lancia il Terminale è un atto che non può essere interpretato e bloccato dal computer. Per cui rimanere all’erta è in ogni caso necessario.
Il miglior antivirus è sempre il cervello umano. Preferibilmente acceso.
Del recente aggiornamento di sicurezza già si parla sulle pagine del nostro forum.
L’occasione ci dà anche lo spunto per ricordare la pagina omnicomprensiva che Apple dedica a tutti i suoi aggiornamenti di sicurezza, partendo da quelli di sistema per arrivare a quelli delle singole applicazioni o componenti aggiunte come Java: basta seguire questo link.
