Apple risolve alcune vulnerabilità dell'exploit XARA, fix in arrivo

20 Giugno 2015 88

Apple ha confermato di essere a conoscenza della vulnerabilità nota come XARA e dei potenziali exploit permessi da software malevoli sia su OS X che su iOS. Questa vulnerabilità permette di intercettare i dati trasferiti tra le applicazioni in modalità sandbox, comprese informazioni sensibili come password e chiavi di autenticazione.

Questo è quanto affermato da un portavoce di Apple:

All'inizio di questa settimana abbiamo implementato un aggiornamento di sicurezza lato server che protegge i dati delle applicazioni e blocca le applicazioni con problemi di configurazione della sandbox dal Mac App Store. Abbiamo ulteriori correzioni in corso e stiamo lavorando con i ricercatori per investigare su quello che hanno scoperto

Le vulnerabilità XARA sono state scoperte lo scorso anno da un team di ricercatori della Indiana University, Georgia Tech e della Peking University cinese, che ha successivamente informato di Apple dei loro risultati lo scorso ottobre. Apple aveva richiesto una proroga di sei mesi prima della divulgazioni di questi exploit.



88

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Carlo Saredi

Deduzione perfetta.

Carlo Saredi

PIù ti leggo e più mi rendo conto di quanto sia perlomeno sciocco buttare soldi su dispositivi Apple. Dopotutto dovrei stare comunque attento, diffidare degli sviluppatori, trattare le iCose come pargoli indifesi solo per non avere i problemi che affibbiate a windows. Mah!

Carlo Saredi

Ovvio ci siano quintalate di schifoware per Windows, macosx lo usavano in 12 e ora in 22, non ha molto senso sviluppare malware e bloatware per un sistema poco diffuso. Tutto qui. Più interessantte numericamente diverrà macosx, maggiori saranno i software malevoli sviluppati per sfruttarne le falle.

dd.dezan

Safari ha i lag per via delle porcherie che hai installato, ma non aggiornato adeguatamente o cancellato quando non ti servivano più...
Il problema di sicurezza è esterno ad Apple:non dipende da lei ma da chi fa le app con i piedi. E' comunque in via di risoluzione...Tranquillo...

dd.dezan

Ridi....Cosa vuoi che ti dica?

Sagitt

Bah

IlRompiscatole

Quindi se si commette un'imprudenza su osx la colpa è dell'utente, se si commette un'imprudenza su Windows la colpa è di Windows. Affascinante.

Sagitt

Os x per esempio di base disattiva l'avvio di applicazioni non firmate... Scelta dell'utente disattivarlo, e poi chiede la password per l'accesso al sistema. Windows al massimo ti chiede continua 100 volte e l'utente stanco di vederlo sempre apparire o lo disattiva o clicca continua a random...

F3NN3clol

hahaha xD
fai ridere !

IlRompiscatole

Ah no? :-D
Dai pieno accesso al sistema ad un'applicazione sconosciuta, sviluppata da sconosciuti, che non sai cosa fa e non staresti facendo niente di sbagliato a livello di "utilizzo"? :-D
Sei te a dare le chiavi di casa al ladro, come vuoi essere protetto? :-D
Dai, seriamente :-)

SteDS

Il fatto che la falla non sia stata pubblicata non da il diritto (si è proprio il caso di dire così) di prendersela con calma, tutt'altro, finchè la falla c'è rimane un potenziale pericolo per gli utenti. Nessuna giustificazione (Andrid, iOS, WP non importa quale) è giusto che PIOVANO critiche in casi come questo, è un diritto degli utenti che in fin dei conti sono (siamo) quelli che pagano.

SteDS

--

Sagitt

Di certo non entrano Googlando... Ma installando roba, è più facilmente cr@ccandola. Pur se così non implica che chi fa questo fa qualcosa di sbagliato a livello di "utilizzo"

Sagitt

Se fossi f@nboy avrei un nexus, 2 Samsung, 3 PC Windows ed altro? Dai per piacere... È solo che se sento/leggo certe robe non posso non intervenire

IlRompiscatole

E allora sarò io un alieno a non averne mai presi. Ma mai neanche una segnalazione da kaspersky. Non sarà forse che la gente installa cacca e poi racconta che "é entrato da solo, mentre navigavo su internet"? :-D

Dany

Non è questione di vittimismo, è che pensavo di parlare con una persona intelligente, ma evidentemente mi sbagliato, per cui non ho più nulla da dire, io ho parlato per tutto il tempo con educazione e rispetto verso di te, ma adesso ti considero alla stregua di tutti gli altri f4nb01, che appena si sentono in difficoltà iniziano ad insultare, per cui che senso ha continuare a parlare con uno che mi da del t0nto?? Soprattutto se me lo dice affermando poi: Apple ha fatto con calma perché sapeva di avere 6 mesi e voleva fare le cose per bene, e dopo una frase del genere il t0nto sarei io???? I 6 mesi di Apple sono scaduti ad Aprile!!!! e adesso siamo a giugno inoltrato, fin'ora Apple non aveva fatto NIENTE, altro che fare con calma!! Solo ora che (a giugno) hanno reso noto il bug Apple ha iniziato a fare qualcosa!!!! ed io sarei il t0nto?? Sei tu credi ancora nelle favole!! Il vittimismo c'entra poco, è che ho capito con che genere di persona sto parlando e quindi non ho più tempo da perdere, buona serata!

Sagitt

Non sfruttare il vittimismo, qui quello che gira per il blog a fare da h@ters sei tu, e gli h@ters meritano insulti. Io uso tutto di tutti e vivo in pace

Dany

Va bene ok, io sono tardo e tu sei intelligente, dopotutto sono io quello che ha avuto bisogno di insultare e screditare per cercare di avvalorare la sua tesi, continua pure a pensarla come ti pare, saluti.

Dany

Molte delle cose presenti in C:/ per Windows sono considerate "zona a rischio", tra cui anche c:/programmi, e lo trovo anche giusto in quanto una modifica (anche nella cartella programmi) può provocare dei malfunzionamenti (magari non al SO ma al programma stesso), quindi è giustissimo che Windows ti chieda una conferma di ciò che vuoi fare, come a dire "occhio che questa modifica potrebbe comportare dei rischi", ma in ogni caso stiamo palesemente andando fuori tema rispetto al discorso principale/iniziale, inoltre si è anche fatta ora di cena, per cui ti lascio, saluti.

Sagitt

Cartella di sistema? Lol.. Le app vengono installate li, anche di terzi e sono tutto fuorché di sistema. È come se os x mi chiedesse il permesso di copiare un'app in /Applications

Sagitt

Ma non diciamo vacc@te, un gb basta e avanza per avviare 2 app. Su Mac non esiste bloatware e se non sai la storia dei lenovo allora siamo alla frutta. Prima di sparare sentenze informati come faccio io e molti altri. Disinstallare tutti i bloatware presenti sui PC fa più danni che bene, meglio un format. Poi sembra che sei tardo, lo può pure sapere da ottobre ma se la falla non è stata pubblicata che fretta ha? Meglio risolverla con calma e bene no? Anche perché non ci vogliono di certo 10 minuti per una falla in profondità come questa. Poi oh vorrei sapere che app Apple mette che alla gente non piace... Il massimo che vedo sui Mac è iLife che sono 3 app in croce spostabili nel cestino e su iPhone uguale. In ogni caso app utili e ben fatte non bloatware come su Windows e Android

Dany

ah beh, non ho mai usato startisback, non ne ho mai avuto il bisogno quindi non so, per quanto riguarda la cartella c:/programmi, è una cartella di sistema, trovo giustissimo che Windows chieda il permesso, tra l'altro io stesso ho affermato poco fa che per le cartelle di sistema lo chiedeva, quindi che l'hai specificato a fare?
Poi beh, se ora vuoi anche tentare di screditare me per cercare di avvalorare la tua posizione possiamo anche chiudere qui il discorso, non ho tempo da perdere con te se dopo tutto quello che ci siamo detti adesso te ne esci con "parli per sentito dire", non sono un professore neanch'io, ma faccio ingegneria informatica, quindi ne so abbastanza anch'io, anche su discorsi abbastanza approfonditi.

Dany

TI ho dato l'impressione di aver cambiato versione? a me non pare, sono convinto e ribadisco il fatto che Windows è sicuro, e una toolbar non crea problemi di sicurezza (il discorso del più utilizzato era riferito alle toolbar come ho chiaramente specificato), io ho più che altro l'impressione che sia tu a voler rigirare i miei discorsi, ma io scrivo in modo chiaro, non ci possono essere fraintendimenti, quindi non cercare di crearne.
Tutte queste limitazioni poi non mi sembra che ci siano, nel pc fisso di casa (che io non uso quasi mai in quanto non vivo più con i miei) ho tolto i privilegi di amministratore proprio per evitare danni del genere, e non mi pare che loro abbiano problemi di alcun tipo, è molto più probabile piuttosto che i pc che hai a lavoro abbiano impostato dei limiti di sicurezza ancora più restrittivi per gli utenti, non ci vedi nulla di strano in questo (dopotutto sono pc di lavoro), è per questo che non puoi fare quasi nulla.

Dany

Si, sono assolutamente convinto che sia questione di RAM, la CPU dell'Air è perfettamente in grado di reggere lo plit, si può dire tutto, ma le CPU Apple non sono di certo scarse, ma la RAM è un limite FISICO, e il fatto che Apple fino all'anno scorso abbia insistito a fare dispositivi con 1 giga è vergognoso! secondo te perchè quest'anno guarda caso ne hanno messo 2?? è proprio per questa funzione! che con un giga non avrebbe mai girato bene! il fatto dei lenovo non l'ho capito, vuoi dire che c'è hanno inserito un app malevola? mi sembra difficile, ma non ne so niente per cui non insisto, il blootware (purtroppo) è presente in ogni SO, e finchè si tratta di dispositivi desktop non è neanche un gran problema in quanto può essere tranquillamente disinstallato, il vero problema si pone quando viene inserito nei dispositivi mobili escludendo la possibilità di poterlo togliere (e da questo nemmeno Apple è esente con le sue app che in molti preferirebbero non avere ma che non possono cancellare), per quanto riguarda invece il discorso del "Loro hanno il tempo di risolverlo prima che venga reso pubblico e così sarà", ti ricordo che Apple è a conoscenza di questo problema da ottobre, e fin'ora non hanno fatto nulla di concreto.

Sagitt

Ah come cambi versione? Ora è l'ho più utilizzato e quindi può avere questi problemi? Ma che discorsi fai dai... Se non sai la password non permetti di toccare le cartelle di sistema ma puoi fare tutto il resto, se su Windows non dai i permessi in alcuni caso manco le icone sul desktop puoi cancellare, e ne so qualcosa usando a lavoro un PC senza permessi... Fidati li uso entrambi e non è per niente uguale... Un os x come amministratore senza solo la password può fare tutto tranne che toccare file di sistema e installare app che vanno a toccarli a loro volta

Sagitt

Ma per piacere che da Windows 8 in su se vai ad editare le cartelle dello start menù (le puoi vedere tramite startisback) oppure copi e incolli un file in c:/programmi ti chiede il permesso. Ora le cose sono 2, o non usi Windows o parli per sentito dire. Io uso tutti gli so principali e conosco vita morte e miracoli di Mac e Windows visto che li uso dalle loro prime versioni i delle incarnazioni attuali (95 e 10.3)... Non sono professore me per l'utilizzo generale ne so abbastanza

Sagitt

pensi davvero che serva più di 1 gg di ram per avviare 2 app contemporaneamente? Serve più CPU che ram... Il motivo per il quale l'air 1 non ha lo split è puramente marketing, esattamente come Samsung non ha donato lo split a tablet precedenti che benissimo potevano sfruttarlo. Su Android so benissimo che è presente, ho due terminali Android, ma se la usi è solo un problema, esattamente come quella per la sd. Se il 90% dei produttori non la attivano un motivo c'è no? Per quanto riguarda la storia di Windows non ci vanno lontano.. Se compri un qualsiasi PC preassemblato (quindi qualsiasi AIO, notebook e tablet + assemblati desktop marchiati) sono zeppi di bloatware e come successe con i lenovo se non sbaglio di software pericoloso dove Microsoft ha dovuto correre ai ripari visto che lenovo non avrebbe potuto agire direttamente. Poi è ovvio che se metti Windows pulito e lo sai usare il rischio si riduce, ma su 100 persone forse 10 sanno fare questo. Poi ti ripeto questo bug oltre a richiedere l'utilizzo del portachiavi cloud, cosa che pochi usano, richiede che chi genera l'app sappia sfruttare questo bug e prima ancora che sia reso noto, tutte condizioni non verificate e che non hanno mietuto vittime. Loro hanno il tempo di risolverlo prima che venga reso pubblico e così sarà. Se era un bug già reso pubblico sarebbe già stato risolto in poco. La forza di Apple è qusta. Bug? Update per tutti quelli che ne soffrono ( vedi rilascio di iOS 6 dopo uscita di iOS 7 per risolvere un bug di sicurezza )

Dany

Avrebbe avuto lo stesso identico effetto dare il pc a tua m4dre togliendogli i privilegi di amministratore (che in pratica è come "non dargli la password"), inutile continuare a parlare se si usano due pesi e due misure di ogni situazione, è ovvio che Windows sia più soggetto a toolbar e cose del genere, dopotutto è il SO più diffuso al mondo, e certe cose vengono realizzare appunto in base alla diffusione, ma se Windows è aggiornato all'ultima versione ed è genuino e a questo aggiungi la disabilitazione dei privilegi di amministratore è veramente difficile far danno (mi riferisco a cose serie), non serve nemmeno l'antivirus (da windows 8 in poi), a patto che quello di sistema sia abilitato!

Dany

Non mi risulta affatto che windows ti chieda il permesso per editare qualche voce su star, lo fa solo quando di tratta di file inclusi nella cartella di sistema, in quando una loro modifica può creare dei malfunzionamenti ai programmi o addirittura al SO, inoltre se non si hanno i privilegi di amministratore non si corrono rischi in quanto certe operazioni (mi riferisco appunto a quelle rischiose) non sono consentite.

Sagitt

Usavo anche io kaspersky fin quando non diventò pesante peggio di Norton. Io uso Windows e Mac, entrambi senza antivirus. Il problema non è il mio, ma della gente comune. I virus si prendono spesso e volentieri pure se attenti se non si ha un antivirus che spreca risorse analizzando c@zzi e m@zzi, pagine web, file, protocolli questo e quello rallentando tutto. L'unico software di sicurezza che ho sul mio Mac è little snitch e lo uso per tutto tranne che per la sicurezza (chi vuol intendere, intenda)

Dany

Mi riferivo anche alla convinzione dell: l'hardware non serve, è tutta questione di ottimizzazione, e infatti vedi IPad Air che non supporta a pieno la funzione di split screen per insufficienza di RAM, è parliamo di un dispositivo ancora nuovo, ma questo è un altro discorso, era solo per farti un esempio.

Per quanto riguarda la criptazione dei dati, su Android c'è, è facoltativa ma c'è, e continuare a sminuire la situazione dicendo "tanto gli altri sono peggio" non ti da di certo ragione, uno dei vanti principali degli utonti Apple (non mi riferisco necessariamente a te che magari ne sai più di tanti altri che ho conosciuto) è la sicurezza, li sento parlare di Windows come se non fosse altro che un SO che quasi quasi esce di fabbrica con i virus già inclusi! questo enorme bug di sicurezza (tra l'altro non ancora risolto del tutto) non fa altro che dimostrare quando le loro convinzioni di "sistema perfetto" non fossero altro che fantasie! in quanto non esiste e non esisterà mai un sistema che può proteggerti al 100%!

Sagitt

Se sei amministratore quando qualcosa tenta di toccare il sistema ti chiede la password, però a differenza di Windows dove ti chiede continua pure per editare una voce nel menù start, su Mac sai che se ti chiede una password vuol dire che sta facendo qualcosa di abbastanza rischioso, quindi ti fermi e pensi, visto che capita di rado doverla inserire. 70% delle app è un .app che non fa danni e che non richiedono password

IlRompiscatole

É la prima cosa che faccio. E viaggio anche costantemente con credenziali da amministratore. Però da 8 anni non vedo l'ombra di un virus (da dopo windows me), l'unica cosa tra me ed il "baratro" che voi utenti apple pensate esista é kaspersky (ed il mio cervello).
Puoi anche disattivare tutto l'UAC ma devi comunque far partire l'installer ed accettare di installarti il malware.

Sagitt

Guarda io in casa ho sia Mac che Windows (aggiungerei anche Linux), a mia madre ho rifilato il mio vecchio macbook del 2007 perché il portatile che aveva prima me lo trovavo sempre pieno zeppo di virus, toolbar, pubblicità bla bla bla, ovviamente senza antivirus se non quello di Microsoft per leggerezza... Ora col MacBook non trovo mai nessun difetto generato.. Trovare virus o v@ccate con Mac ha una probabilità che è un quarto rispetto Windows, in più nel 90% dei caso è necessario inserire la password di sistema che ovviamente non gli ho fornito, e ovviamente nessu antivirus installato. Su Windows al massimo ti chiede "continua" per ogni cosa, motivo per cui disabilito sempre le richieste di protezione dal pannello utente. Non troviamo scuse, per quanto Windows abbia fatto passi da gigante la protezione di base è inferiore a Mac e sistemi UNIX in generale.

Sagitt

Ma cosa stai dicendo, convinzioni? Cadendo una ad una? Per un bug? I bug sono parte di ogni software e questo bug seppur grave non ha generato nessun danno poiché nessuna informazione è stata rubata grazie a lui, e per di più bisogna necessariamente usare il portachiavi da quel che leggo. Il sistema garantisce e garantirà comunque una maggior sicurezza rispetto alla concorrenza, insieme a WP. Pensa piuttosto ai miliardi di Android i circolo che se fosse stato scoperto un bug simile sarebbero rimasti tutti allo sbando senza update in programma e per di più già di base è abbastanza ridic@lo senza una criptazione dei dati sul dispositivo ed altre men@te di sicurezza, quello che per utenti Apple è un bug su altri sistemi è quasi la prassi quotidiana. Sei solo un h@ters che pur di generare fl@me si attacca ad ogni cosa. Ad oggi dal 2007 il bug peggiore di Apple che ho visto è stato quello del messaggio che non procura comunque nessun danno irrisolvibile

Dany

Si può dire lo stesso sui Mac, in questo caso è l'utonto medio che scarica--->accetta---->installa, nessun sistema (compreso Mac) può essere sicuro da una situazione del genere, soprattutto quando si esegue il tutto con privilegi di amministratore, e questo bug di Mac rappresenta solo una conferma "dell'ovvietà"

Dany

Vale lo stesso per i Mac ormai, tutto questo discorso è partito dal fatto che Caio ha affermato che questo bug non rappresenta un rischio, in quanto "basta stare attenti" e "avere un pò di sale in zucca", ma questo vale anche per Windows, non solo per Mac! anche su Windows se gli utenti stessero attenti e se avessero un pò di sale in zucca i rischi di contrarre virus scenderebbero a zero, e anzi, per completezza, ormai windows è sicurissimo, escludendo qualche toolbar non può succedere molto altro se si ha una versione aggiornata e genuina (casi estremi esclusi), la maggior parte delle persone che tu descrivi si ritrovano Windows crackato con aggiornamenti disabilitati (per non far beccare la crack) e un "antivirus" di dubbia utilità! in queste condizioni è ovvio che i rischi di beccare qualcosa aumentano a dismisura!

Dany

Appunto, peggio ancora!! è divertente vedere come vi attaccate a tutto pur di difendere Apple, ma vi pagano?? le convinzioni degli Apple fan stanno cadendo una ad una e non ve ne rendete neanche conto! il fatto che questo bug consenta di rendere qualunque app un pericolo significa che virtualmente parlando quasi tutto quello che hai sul pc presenta dei rischi! ti sembra una vulnerabilità da poco?? che fine ha fatto il sistema operativo che assicurava la protezione da ogni rischio agli utenti?

Sagitt

Si pure io perché so cosa metto e faccio, ma basta cercare una cr@ck che c'è il rischio di beccarne...

Sagitt

Tu, a me portano 2-3 PC al mese intasati. Un utente capace ci sta attento ma i PC sono in mano a tutti

Sagitt

Prova a disabilitare le mille richieste di Windows

Sagitt

In primissima il bug non è stato reso noto e poi richiede specifiche condizioni

Sagitt

Il fatto è che il bug non è noto e quindi la priorità è minima

Sagitt

Esiste il bug ma non è mai stato applicato o comunque non ha portato gravi disagi, inoltre se fosse stato utilizzato o reso disponibile sarebbe già stato risolto tempo fa... Ma così hanno potuto risolverlo bene e con calma

IlRompiscatole

Che antivirus usi?

IlRompiscatole

Negli anni 90 si. Ora deve partire un installer, devi dare il consenso alla modifica del sistema da parte di un applicazione inserendo la password dell'amministratore e premere su accetta ed avanti come se non ci fosse un domani :-D

Dany

È dal 2012 che sono senza antivirus, mai avuto un problema, stranamente li vedete tutti voi i virus, un pò come vedete i lag dispositivi Android, ma quando poi Safari lagga da paura (ho un Ipad Air, so quel che dico), chiudete gli occhi e fate finta di non vedere, un po' come questo grave problema di sicurezza che coinvolge sia Mac che IOS

Dany

Io sono senza antivirus da quando ho messo Windows 8, mai avuto un problema, si può sapere dove cavolo vai per beccarti tutti sti virus? sinceramente mi risulta molto difficile crederlo, a meno che non usi qualche vecchia versione di windows crackata e mai aggiornata, con un "antivirus" di dubbia utilità, perchè per quanto mi riguarda non è assolutamente questione di fortuna, Windows è sicuro, ma è ovvio che se vai a navigare chissà dove i rischi aumentano, ma come hai detto proprio tu, "basta stare attenti e avere un po' si sale in zucca" non vale che usi due pesi e due misure per Apple e per Windows

dd.dezan

Android è malware (dormiente o attivo, poco importa) con qualcos'altro intorno...Che ogni tanto è un programma utilizzabile...

dd.dezan

Ci sono anche quelli dormienti e ci sono pure quelli chiamati antivirus....Norton, per nominarne uno, è uno dei classici virus per windows che viene spacciato per antivirus....

Spero che lo tolgano dal mercato, prima o poi....

iPad Pro M1 tra rivoluzione, unificazione, marketing ed evoluzione

AirTag finalmente ufficiali: mai più oggetti smarriti. In Italia dal 23/4 a 35 euro

iPad Pro con Apple M1 è ufficiale: potente come un MacBook!

Apple TV 4K si rinnova con processore A12 Bionic, e c'è anche il nuovo telecomando