Vi avevo raccontato qualche settimana fa che al concorso Pwn2Own Charlie Miller, famoso esperto di sicurezza informatica, è riuscito a sfruttare l'iPhone 4 con un exploit trovato nel browser Safari. Lo stesso browser Safari, ma la versione desktop, a permis un hacker di sfruttare il sistema operativo Mac OS X in pochi secondi nello stesso concorso. Mac OS X 10.6.7 è disponibile da ieri e risolve non meno di 56 vulnerabilità del sistema operativo e delle applicazioni correlate, inclusi i bug di Safari più un altro bug che Charlie Miller non è riuscito a mostrare a Pwn2Own.
Molti di quella classe risiedevano in Apple Type Services (ATS), il renderer di font del sistema operativo, e potevano essere sfruttati utilizzando documenti dannosi incorporati con font appositamente predisposti. Di queste quattro vulnerabilità, due sono state segnalate dai ricercatori di Google, rivale di Apple. Altri attacchi drive-by potrebbero essere lanciati utilizzando file non validi sfruttando sei vulnerabilità nel componente ImageIO di Mac OS X, altre cinque in QuickTime e due in QuickLook, lo strumento di anteprima dei documenti del sistema operativo.
Pochi si aspettavano che Apple rilasciasse una nuova versione di Mac OS X così rapidamente, ma probabilmente l'azienda voleva coprire il più rapidamente possibile le vulnerabilità della vecchia versione di Mac OS X. La stessa cosa potrebbe accadere con iOS 4.3.1 a, il cui rilascio è stato annunciato l'altro giorno. Secondo queste voci, iOS 4.3.1 dovrebbe essere disponibile su iTunes nelle prossime 2 settimane e dovrebbe bloccare il jailbreak dell'iPad 2 oltre ad alcuni altri bug del sistema operativo. Considerando che Apple ha accelerato il rilascio di Mac OS X 10.6.7, è possibile assistere ad una situazione simile nel caso di iOS.
