La curiosa iniziativa del ricercatore in campo sicurezza soprannominato LMH in collaborazione con Kevin Finisterre: comunicare al mondo un bug di sicurezza al giorno, per tutti i giorni di gennaio, relativo al sistema Mac OS X e ai software Apple.
Lunedì 1 gennaio il primo annuncio: una debolezza nel codice di QuickTime renderebbe possibile attacchi via Internet alle macchine su cui il programma è installato, siano queste Mac o PC.
Il bug è stato scoperto nella parte del codice di QuickTime che gestisce il protocollo per lo streaming in tempo reale dei filmati (Real Time Streaming Protocol o RTSP). Per sfruttare questa debolezza l’attaccante deve generare una serie speciale di codice e nasconderlo in un file camuffato nel formato QuickTime.
In questo modo l’attaccante può ottenere il controllo della macchina remota, per compiere qualsiasi operazione consentita dall’account utente utilizzato. L’attacco può essere innescato tramite JavaScript, Flash, tradizionali link e collegamenti, insomma qualsiasi metodo utilizzato sul Web per lanciare l’esecuzione di QuickTime.
La vulnerabilità riguarda l’ultima versione di QuickTime, la 7.1.3 rilasciata a settembre 2006 per Mac e anche PC.
Per evitare questa minaccia è possibile disattivare manualmente il supporto RTSP, le istruzioni per farlo su Mac e PC si trovano sul sito Web SANS, un sito dedicato alla sicurezza e alle minacce via Web.
Nel momento in cui scriviamo Apple ha dichiarato che qualsiasi iniziativa volta a scovare problemi di sicurezza sul Mac è benvenuta. Invece è necessario attendere per verificare se e quando Cupertino intenda risolvere il problema con un aggiornamento ufficiale. In passato e per episodi simili la risposta di Apple è arrivata nel giro di 15 giorni con un aggiornamento speciale per la sicurezza.
[A cura di L. M. Grandi]
