Falla in Mac OS X, per hackerarlo basta un tweet

Acquisire i privilegi di root è un gioco da ragazzi: è sufficiente un comando che non supera la lunghezza di un cinguettio.



[ZEUS News - www.zeusnews.it - 24-07-2015]

os x yosemite falla

Basta un brevissimo comando, tanto breve da stare in un tweet, per ottenere i privilegi di root in Mac OS X.

La vulnerabilità è presente in OS X 10.10 Yosemite, l'ultima versione stabile del sistema operativo di Apple, mentre pare non interessare OS X 10.11 El Capitan, attualmente in beta.

Il problema è dovuto a una variabile d'ambiente introdotta proprio in Yosemite e chiamata DYLD_PRINT_TO_FILE, il cui scopo è permettere al linker dinamico dyld di poter salvare i messaggi di errore in un file scelto arbitrariamente anziché sullo standard error.

Leggi anche:
Mac sempre più vulnerabili ad attacchi Man in the middle
Malware, attacchi al Mac moltiplicati nel 2015
Mac vulnerabili anche dopo la riformattazione del disco
Falla in MacKeeper, a rischio milioni di utenti Apple

Un bug nell'implementazione permette, sfruttando tale variabile, di consentire a dyld di scrivere su qualsiasi file del file system, compresi quelli che l'utente non avrebbe la possibilità di modificare.

Un utente che abbia fatto login nel sistema o un malware può quindi sfruttare il per modificare i file di sistema, compreso quello che elenca gli utenti che possiedono i privilegi di amministratore.

I dettagli sono stati descritti da Stefan Esser, il quale su Twitter ha pubblicato un comando che permette di sfruttare con facilità il bug.

Sondaggio
Quanto spam ricevi in media ogni giorno?
Uno o due messaggi
Meno di dieci messaggi
Tra i dieci e i venti messaggi
Tra i venti e i cinquanta messaggi
Tra i cinquanta e i cento messaggi
Tra i cento e i cinquecento messaggi
Oltre cinquecento messaggi

Mostra i risultati (3863 voti)
Leggi i commenti (15)

Tale comando consente all'utente con il quale è stato effettuato il login di ottenere i privilegi di root, senza bisogno di inserire una password.

Sebbene Apple abbia risolto il problema nella beta di El Capitan, esso è ancora presente nella beta della prossima versione di Yosemite, la 10.10.5; non è dato sapere se l'azienda di Cupertino, soprattutto ora che la vulnerabilità è diventata di dominio pubblico, intenda applicare la correzione anche a Yosemite.

A chi non vuole aggiornare il proprio Mac alla beta di El Capitan Esser suggerisce di installare SUIDGuard e commenta: «Quindi Apple fornisce correzioni di sicurezza nelle versioni beta dei prodotti futuri, ma non corregge le versioni attuali o le beta degli attuali aggiornamenti minori».

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (3)

{utente anonimo}
Twitter non c'entra nulla, e la falla non è sfruttabile via twitter. Bisogna avere accesso fisico alla macchina.
2-8-2015 22:42
{utente anonimo}
so che non c'entra tantissimo, però... link
24-7-2015 18:18
{utente anonimo}
credo che reinstallerò OS X 10.8 ... da Mavericks. in poi solo problemi
24-7-2015 18:13
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Come proteggi il tuo computer?
Proteggere? Dai ladri, forse?
Ogni tanto utilizzo un antivirus online.
Ho un antivirus e tengo aggiornato il sistema operativo.
Ho antivirus, firewall, antispyware, parental control e ogni sorta di protezione.
Utilizzo Linux.
L'unico computer sicuro è un computer offline.

Mostra i risultati (5887 voti)
Giugno 2025
n. 3947 del 12-06-2025
La macchina del caffè che fa a meno del serbatoio: estrae l'acqua dall'umidità dell'aria
n. 3946 del 11-06-2025
In realtà i produttori fanno un favore agli utenti!
n. 3945 del 10-06-2025
Il DNS europeo che promette di tutelare i dati personali
n. 3944 del 06-06-2025
Guarda film pirata? Rischi fino a 5.000 euro di multa
n. 3943 del 05-06-2025
Il Q-day è vicino
n. 3942 del 04-06-2025
OneDrive: app e siti possono accedere a tutto il cloud
n. 3941 del 02-06-2025
Windows 11, ennesimo aggiornamento che blocca l'avvio del PC
Maggio 2025
n. 3940 del 30-05-2025
Il cripto-ladro è nella stampante e ruba un milione di dollari
n. 3939 del 28-05-2025
Amazon, la IA ha trasformato la programmazione in una catena di montaggio
n. 3938 del 28-05-2025
Lidar nelle auto: utile per la guida, letale per le fotocamere
n. 3937 del 26-05-2025
Azienda IA in tribunale per il suicidio di un adolescente
n. 3936 del 22-05-2025
Non è proprio legale... ma le sanzioni sono irrisorie
n. 3935 del 21-05-2025
Pirateria, multati in Italia anche gli utenti finali
n. 3934 del 19-05-2025
Bancomat da attivare e complessità digitale
n. 3933 del 17-05-2025
Un ''diritto a riparare'' piccolo, virtuoso e originale
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 12 giugno
2024
2030, Mastercard elimina il numero della carta di credito.
2023
Shelter: l'Anello del Potere
2022
Videogiocare rende più intelligenti, secondo uno studio
2021
Windows 10, problemi a barra e stampanti dopo l'update
2020
Il trucco che elimina la pubblicità da YouTube
2019
GPS, l'esercito americano sperimenta una sistema di posizionamento inviolabi...
2018
Windows 10, il 50% degli utenti ha dovuto pagare un tecnico per i problemi dell&...
2017
Ecco come vengono sfruttati in concreto i dati delle nostre navigazioni
2016
Manomette le telecamere dei semafori, rischia 7 anni
2015
Chi ha buttato nella spazzatura un rarissimo Apple-1 da 200.000 dollari?
2014
Sorpresa: ''Questo bancomat è stato hackerato''
2013
Galaxy S4 Zoom, lo smartphone che è davvero una fotocamera
2012
Colonscopia virtuale, senza bisogno di lassativi
2010
Arriva Flash Player 10.1 e supporta l'accelerazione hardware
2009
Bing è meglio di Google per la pubblicità
2008
In prova: Asus Eee Pc 900 Windows
2007
Cinquecento borse di studio per l'università araba
2006
Quale futuro per la ricerca nelle Telco?
2005
L'Adsl italiana è la più cara d'Europa
2004
Una petizione on line contro gli Sms elettorali
2002
Le previsioni sulla TV del futuro
2001
Allo shopping center con Britney
Olimpo Informatico


 
web metrics