Aggiornamento di sicurezza per iOS 6 e 7, OS X 10.9 ancora vulnerabile



Nelle versioni distribuite dal Settembre 2012 sino al 21 Febbraio 2014 il sistema operativo mobile di Apple è affetto da un grave difetto che impedisce la trasmissione sicura di dati via internet. iOS 6 e 7 integrano un grossolano errore nel codice relativo a SSL: un goto fail di troppo che rende insicuro il traffico internet. Gli utenti di iOS sono assolutamente invitati ad aggiornare quanto prima possibile il sistema operativo.

{
OSStatus err;
...
if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0)
goto fail;
if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
goto fail;
goto fail;
if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0)
goto fail;
...
fail:
SSLFreeBuffer(&signedHashes);
SSLFreeBuffer(&hashCtx);
return err;
}

Ad un errore grossolano se ne aggiunge un altro: pubblicando, il 21 Febbraio, gli aggiornamenti che risolvono il baco, Apple ha lasciato la stessa falla nel suo ultimo sistema operativo desktop, Mavericks. Le applicazioni vittime di questo baco su OS X sono Calendario, FaceTime, Keynote, Twitter, iBooks, Mail, Aggiornamento Software e Safari… robetta.

Sino a quando Apple non avrà colmato la falla di sicurezza è avventato usare le applicazioni colpite e consigliabile ripiegare su delle alternative sicure: Firefox ed Opera, ad esempio, restano dei navigatori sicuri (Chrome resta, per motivi indipendenti, intrinsecamente insicuro).

La presenza di applicazioni alternative, che non fanno affidamento sul codice di Apple, è una occasione ulteriore per gli utenti di OS X di apprezzare la libertà che concede loro la piattaforma desktop e che, invece, viene negata da iOS.

Tags: , ,

Shortlink: http://www.tevac.com/?p=13780

7 Commenti a “Aggiornamento di sicurezza per iOS 6 e 7, OS X 10.9 ancora vulnerabile”

  1. volkov 25 febbraio 2014 at 23:42 #

    D facci capire “tera tera” le ripercussioni pratiche, ossia quali sono quei dati che potrebbero essere stati trasmessi ad esempio (per me) su safari equipaggiato con Ghostery (son tutte le restrizioni possibili attivate), ma anche no …
    Grazie.

    • Signor D 26 febbraio 2014 at 01:37 #

      Potenzialmente tutto il traffico internet che si basava sulla biblioteca di sistema per SSL/TSL era non sicuro. iCloud, insieme agli altri segnalati. Ghostery non fa assolutamente nulla al problema. E se sei preoccupato per la sicurezza, volkov, abbandona davvero Safari, non foss’altro che non c’è HTTPS Everywhere.

      D

  2. cricolo 27 febbraio 2014 at 11:17 #

    ma da quello che avevo letto in rete, il problema sicurezza era solo nell’utilizzo della rete wifi. Mi spiego meglio, il problema sorge quando un malintenzionato connesso alla medesima rete Wi-Fi può dirottare una connessione sicura e intercettare i dati dell’utente. Sbaglio?

Trackbacks/Pingbacks

  1. Disponibile OS X 10.9.2 - - tevac - 25 febbraio 2014

    […] Aggiornamento di sicurezza per iOS 6 e 7, OS X 10.9 ancora vulnerabile […]

  2. Dettagli su OS X 10.9.2 - - tevac - 26 febbraio 2014

    […] Precedente articolo sul baco: http://www.tevac.com/aggiornamento-di-sicurezza-per-ios-6-e-7-os-x-10-9-ancora-vulnerabile/ […]

Lascia un commento

%d blogger hanno fatto clic su Mi Piace per questo: