Christer Oberg e Neil Kettle esperti di sicurezza della Convergent Network Solutions hanno divulgato del codice sorgente che mostra cinque vulnerabilità nel kernel di Mac OS X 10.5.6, vulnerabilità venute alla luce nel corso della CanSecWest manifestazione che si è svolta dal 16 al 20 marzo 2009 a Vancouver. Le cinque vulnerabilità non sarebbero state comunicate ad Apple e Kettle afferma che nessuno ha protestato per aver diffuso queste scoperte ma anche che la sua esperienza insegna che i bug del kernel non sono seri come altre vulnerabilità .
Inaki Urzay, CTO di Panda Security, afferma che tali prove non rappresentano una minaccia, ma potrebbe diventarlo in futuro. “Le vulnerabilità “, afferma Urzay, “sono la dimostrazione che il codice permette di prendere controllo di una macchina, modificare i privilegi dell’utente e lanciare attacchi DoS contro il computer”. Il codice permetterebbe di creare un nuovo volume di sistema, eseguire chiamate ad alcune funzioni del sistema operativo, modificare user-ID e così via, senza bisogno di possedere i privilegi di amministratore.
La prima vulnerabilità sfrutta un bug nell’implementazione dello stack AppleTalk. Il bug non consente l’esecuzione remota di codice, ma è sfruttabile per i cosiddetti attacchi DoS. La seconda e la terza vulnerabilità sfruttano la lettura della memoria kernel permettendo ad un processo di allocare un blocco arbitrario di memoria impedendo al sistema di liberarla e mandando il kernel in “out of memory”. La quarta e la quinta vulnerabilità riguardano l’handler HFS e una di queste sembra sia conosciuta sin da Mac OS X 10.4 e sia causata dall’errata presenza di un pezzo di codice che dovrebbe essere raggiungibile solo dal kernel stesso ma che è raggiungibile ugualmente aggiungendo particolari argomenti alle chiamate. Il bug nell’IOCTL HFS handler permette di avviare un processo che sovrascrive un indirizzo di memoria arbitrario con dati a piacimento ed eseguire codice con i privilegi del kernel.
“C’è molto meno malware per Mac” afferma Graham Cluley, senior technology consultant di Sophos, in un post sul proprio blog, “Ma questo non significa che i fan di Apple debbano nascondere la testa sotto la sabbia come gli struzzi”. E ancora: “Gli utenti Mac non sono diversi dagli utenti Windows se si fanno abbindolare da trucchetti d’ingegneria sociale che gli fanno credere che è necessario installare particolari programmi per vedere film ad alta definizione”.
Urzay afferma che il malware sotto Mac non avrà alcun impatto significativo fino a quando il market share di Apple non raggiungerà almeno il 15%. “L’hacking è un business” afferma Urzay “e l’obiettivo rimangono le vulnerabilità di Windows”, almeno per il momento.
[A cura di Mauro Notarianni]