C'è un buco in OSX, e parla italiano

Un giovane hacker scova e pubblica una falla zero-day che affligge il sistema operativo Apple

Roma – Il 18enne Luca Todesco ha pubblicato su GitHub il proof-of-concept di una nuova vulnerabilità di OS X, che sembra sia inefficace sulla beta del prossimo El Capitan, potenzialmente in grado di garantire accesso remoto a una macchina infettata con un apposito payload . Ingannando il sistema di indirizzamento casuale della memoria integrato in OSX, Todesco è riuscito a ottenere accesso a una shell con privilegi root.

L’attacco mostrato da Todesco ( questo il suo account Twitter) all’interno del codice disponibile su GitHub mostra come sia possibile ottenere un pieno accesso alla macchina bersaglio senza dover inserire alcuna password, scavalcando la kernel address space layout randomization (KASLR): la misura di sicurezza integrata nel sistema operativo, che dovrebbe servire a evitare l’esecuzione di codice arbitrario, può essere aggirata mediante una serie di tecniche eseguite in sequenza (essenzialmente facendo puntare a NULL un servizio che gira a livello del kernel) e fornendo dunque una porta di accesso potenzialmente pericolosa.

Todesco ha deciso di pubblicare direttamente il codice sorgente del suo payload di esempio su GitHub , aggiungendo anche un fix che dovrebbe arginare la minaccia , senza attendere un riscontro da parte di Apple: a suo dire l’azione era necessaria poiché la vulnerabilità stava già circolando nei sottoboschi malfrequentati della Rete, dunque era fondamentale mettere tutti sull’avviso. Si tratta di una metodologia controversa nella community hacker, dove spesso vige la regola non scritta di fornire un certo preavviso all’azienda il cui software risulta bacato, in modo tale da consentire di provvedere a produrre una patch prima che la falla diventi pubblica.

Apple non ha commentato per ora la questione, anche se aveva da poco tappato un’altra vulnerabilità significativa con il rilascio di OS X 10.10.5 e di sicuro questa novità produrrà qualche grattacapo a Cupertino. A parziale consolazione, El Capitan (OS X 10.11) pare riesca a mitigare molto la portata di questo exploit .

Luca Annunziata

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Davide Zanatta scrive:
    PVcompare come Sunroof
    Esiste un tool completamente gratuito e creato da una azienda italiana PVcompare (www.pvcompare.net) che permette la comparazione degli impianti fotovoltaici sulla base di dati reali. Cioè vengono comparati i dati giornalieri delle produzioni di più di 35000 impianti in tutto il mondo e questi a seconda della locazione geografica, inclinazione e orientamento (inseriti dallutente) ridà la classifica dei migliori prodotti con le caratteristiche digitate
  • Funz scrive:
    Strumento utile alle nostre latitudini
    http://re.jrc.ec.europa.eu/pvgis/apps4/pvest.php
  • prova123 scrive:
    Domanda (non retorica!)
    Ad oggi quanto costa smantellare un "vecchio" impianto fotovoltaico non più competitivo con gli attuali ? ... qualsiasi impianto non è per sempre!
    • Num Letter scrive:
      Re: Domanda (non retorica!)
      hai detto bene... QUALSIASI! :D
      • prova123 scrive:
        Re: Domanda (non retorica!)
        Qual'è la risposta alla domanda? Nonostante fosse breve non hai capito nulla come al solito.
        • Num Letter scrive:
          Re: Domanda (non retorica!)
          Semplice che la domanda va fatta identicamente per qualunque impianto (fotovoltaico o meno) ...Altrimenti non ha proprio senso la domanda. :D
    • Mauro scrive:
      Re: Domanda (non retorica!)
      Un pannello F.V. è composto da:Cavi in rameCornice in alluminioVetro10 grammi di silicio di ottima qualità.A parte la guaina dei cavi è una miniera di materie prime; allora la domanda giusta é:Quanto rende smantellare pannelli F.V. quando sono rotti?Ma perché poi dovrei preoccuparmi della competitività?Tenere sul tetto i miei vecchi pannelli non mi costa nulla; finché funzioneranno staranno lì.P.S. Se cercavi su un motore di ricerca trovavi articoli tipo questohttp://fotovoltaicoabruzzo.blogspot.it/2010/03/riciclo-dei-pannelli-fotovoltaici.html....Ed evitavi di trollare!Ma forse questa ere proprio la tua intenzione!
    • Mauro scrive:
      Re: Domanda (non retorica!)
      riciclo-pannelli-fvhttp://www.qualenergia.it/articoli/20140212-riciclo-pannelli-fv-siracusa
Chiudi i commenti