Aggiornamento del 25 febbraio 2014, a cura di Ruthven.
È stato appena messo online l’aggiornamento di OS X che risolve la grave falla di sicurezza di SSL/TLS. Apple ha accelerato i tempi del rilascio di OS X 10.9.2, per risolvere in tempi brevi il bug nel protocollo di trasmissione sicura di dati, il quale era presente in iOS ed anche lì è stato risolto con un aggiornamento del sistema rilasciato in fretta e furia.
Il bug SSL/TLS mette a repentaglio ogni tipo di connessione sicura stabilita con Safari e qualsiasi altro software che usi l’API di Apple SecureTransport per creare connessioni SSL o TLS. Con questa falla di sistema, un hacker mal intenzionato potrebbe effettuare una tecnica di attacco di tipo man-in-the-middle per accedere ai dati sensibili inviati sulla connessione, il che riguarda numeri di carta di credito, e-mail, sms scambiati con iMessage o comunicazioni FaceTime.
Nella stessa occasione della messa online di OS X 10.9.2, Apple ha reso disponibile su Mavericks il supporto su Mac a FaceTime Audio, il protocollo VoIP lanciato qualche mese fa con iOS 7 e già introdotto nelle ultime beta di OS X. Oltre a FaceTime Audio, Apple introduce con OS X 10.9.2 anche nuove funzionalità di blocco su iMessage e FaceTime, il supporto alle chiamate in attesa per FaceTime, la risoluzione di alcuni bug in Mail ed altre correzioni di errori e migliorie generiche.
L’aggiornamento a OS X 10.9.2 è raccomandato a tutti gli utenti con OS X Mavericks ed è disponibile attraverso Aggiornamento Software oppure ai link seguenti:
- OS X Mavericks Update v10.9.2 (859.70 MB)
- OS X Mavericks Update v10.9.2 (Combo) (859.70 MB)
Assieme a OS X 10.9.2 Mavericks, Apple ha anche messo online degli aggiornamenti di sicurezza per OS X Mountain Lion e Lion:
- Security Update 2014–001 (Mountain Lion) (115.8 MB)
- Security Update 2014–001 (Lion) (123.40 MB)
- Security Update 2014–001 Server (Lion) (173.60 MB)
OS X, un grave bug in SSL colpisce Safari, FaceTime, iMessage e molto altro
[img src=”https://media.melablog.it/6/6ef/os-x-mavericks-bug-sll.jpg” alt=”os-x-mavericks-bug-sll” height=”350″ title=”os-x-mavericks-bug-sll” class=”alignleft size-thumb_620x350 wp-image-129423″]
Scritto da Giacomo Martiradonna – lunedì 24 febbraio 2014
Una delle più importanti novità legate al rilascio di iOS 7.0.6 era la correzione di un grave bug nel protocollo SSL/TLS che poteva compromettere la trasmissione in sicurezza dei dati. Il problema, tuttavia, è che la medesima falla è presente anche in OS X e affligge una quantità spaventosa di app di sistema: e meno male che Apple ha promesso una patch software in tempi rapidi. Attendiamo trepidanti.
Il bug ha può essere sfruttato da qualunque hacker posto in una “posizione di privilegio sul network,” con attacchi definiti in gergo di “uomo nel mezzo” (man-in-the-middle) che possono portare all’intercettazione delle comunicazioni, all’acquisizione di dati sensibili come credenziali e password, e infine all’iniezione di software malevolo. CrowdStrike, che ha scoperto per primo il bug, scrive:
Per attaccare, un avversario ha bisogno di una connessione network Man-in-The-Middle (MitM) che può essere ottenuta se si è presenti sullo stesso network wireless o via cavo della vittima. A causa di una falla nella logica di autenticazione sia di iOS che OS X, un aggressore può eludere le routine di verifica SSL/TLS dell’handshake iniziale della connessione.
Ciò gli consente di mascherarsi come un terminale remoto sicuro, come ad esempio il vostro server di posta elettronica preferito e portare a termine l’intercettazione completa del traffico crittografato tra voi e il vostro server di destinazione, oltre che fornire la capacità di modificare i dati in transito (per esempio per prendere il controllo remoto del sistema).
E quel che è peggio, forse, è che il problema non riguarda esclusivamente Safari -cosa già di per sé estremamente grave- ma anche un numero spaventoso di applicazioni di sistema basate sulla libreria SSL. FaceTime, iMessage, Twitter, Calendario, Keynote, Mail, iBooks, Aggiornamento Software e molti altri: l’intero OS è in pericolo.
Per sapere se il vostro sistema -iOS o OS X- è immune o meno al problema, basta visitare il sito gotofail.com; e se siete esposti, in attesa che Apple rilasci un aggiornamento, evitate assolutamente di connettervi a network pubblici o non sicuri durante i vostri spostamenti e viaggi. Sui dispositivi mobili, invece, sarà il caso di aggiornare quanto prima ad iOS 7.0.6.
