Nota: Se stai leggendo questo messaggio è perchè non vedi i nostri file css, oppure perchè non hai un browser "standards-compliant browser". Leggi l'aiuto.

itechStudio Digifocus
01net network 01net Applicando CIO Club IlSoftware.it
TechTarget Italia SearchCIO.it SearchSecurity.it SearchNetworking.it
newsletter
Cerca
in
Con l’iOS 4.0.2, Apple rende più sicuri iPhone e iPod touch
Sicurezza
Con l’iOS 4.0.2, Apple rende più sicuri iPhone e iPod touch
Pronto l’aggiornamento promesso dalla società, che intende rimediare alle due vulnerabilità scoperte di recente nel sistema operativo e collegate alla gestione dei Pdf e del codice web.
Michele Nasi - www.ilsoftware.it
15 Agosto 2010
Link

A fronte della pericolosa doppia vulnerabilità individuata nei giorni scorsi all’interno dell’iOS 4, i tecnici di Apple si sono immediatamente attivati per inibire le metodologie di attacco recentemente illustrate in rete ed hanno provveduto a rilasciare la versione 4.0.2 del sistema operativo. Sfruttando le predette vulnerabilità, un hacker noto con lo pseudonimo di "comex" è riuscito a mettere a punto una procedura, del tutto automatizzata, che permetteva agli utenti - collegandosi dal proprio dispositivo a una semplice pagina web - di effettuare il "jailbreaking" ossia lo "sblocco" del dispositivo.

Marco Giuliani, malware technology specialist per Prevx, sottolinea come la pagina web allestita dall'hacker aprisse un documento PDF contenente del codice arbitrario. Questo veniva posto in esecuzione sull'iPhone sfruttando una falla insita nel motore di rendering dei documenti in formato PDF. "Non c'entra nulla Adobe - aggiunge Giuliani -. Apple utilizza un proprio engine per la resa dei file PDF" chiarendo che, nello specifico, la lacuna di sicurezza riguarda una non corretta gestione di alcune fonti di carattere CFF.

La seconda vulnerabilità, considerata più grave, è strettamente legata al funzionamento del sistema operativo: "Sfrutta una falla nel framework IOSurface, utilizzato per condividere interfacce grafiche tra le varie applicazioni e gestito interamente dal kernel - spiega Giuliani -. Alcuni parametri degli oggetti creati non vengono correttamente validati dal framework causando un errore di integer overflow. Essendo il codice gestito nel kernel, l'errore permette di eseguire codice con privilegi di root". La conseguenza è che il codice riesce così a evadere al controllo operato all'interno della "sandbox".

Dopo il rilascio della patch 4.0.2 da parte di Apple, l'hacker autore della scoperta ha pubblicato i dettagli tecnici del suo "exploit" rendendo così la vita molto più semplice ai malintenzionati che volessero sfruttare la lacuna di sicurezza.

Per mettersi al riparo da qualunque rischio, quindi, tutti i possessori di iPhone e iPod touch sarebbe bene installassero il nuovo iOS 4.0.2, agendo tramite iTunes. Ulteriori informazioni sul nuovo aggiornamento si pososno avere consultando questa pagina.

Tag: iPhone, iPod, Mobile

I nostri riferimenti | Pubblicità su Applicando

© Copyright Il Sole 24 ORE

Rss

Il Sole 24 ORE S.p.A.

Sede Legale in Milano, Via Monte Rosa, 91 - Sede Operativa: Via Carlo Pisacane, 1 - Pero (MI)

Partita Iva - Codice Fiscale 00777910159 - Dati societari