OS X 10.10.3 avrebbe dovuto risolvere, tra le altre, una vulnerabilità estremamente pericolosa chiamata RootPipe, consentendo agli hacker di ottenere l'accesso come amministratore ai Mac degli utenti e di controllarli senza alcuna successiva autenticazione, ma per l'intera operazione è richiesto l'accesso locale al Mac.
sebbene OS X 10.10.3 avrebbe dovuto risolvere il problema, un ex dipendente della NSA dimostra nel video qui sopra che rimane attivo nel sistema operativo di quelli provenienti da Apple, qualunque cosa ciò che vediamo essendo stato confermato da un ricercatore di sicurezza informatica, non ci sono quindi dubbi sull'esistenza del problema.
Durante il mio volo di ritorno dalla presentazione a Infiltrate (conferenza straordinaria tra l'altro), ho trovato un modo nuovo, ma banale, per qualsiasi utente locale di abusare nuovamente di rootpipe, anche su un sistema OS X 10.10.3 completamente patchato. Nello spirito di una divulgazione responsabile, (in questo momento), non fornirò i dettagli tecnici dell'attacco (a parte ovviamente ad Apple). Tuttavia, ho ritenuto che nel frattempo gli utenti di OS X dovessero essere consapevoli del rischio.
L'ex dipendente della NSA sostiene di utilizzare un metodo per eludere la soluzione adottata da Apple per la vulnerabilità esistente in OS X 10.10.3, un ricercatore di sicurezza informatica afferma il giorno del rilascio dell'aggiornamento per OS X che la modifica apportata dall'azienda Apple può essere aggirata in vari modi.
L'ex dipendente della NSA sostiene che era sul punto di dimostrare la vulnerabilità in un Apple Store dell'azienda Apple, ma invece ha inviato tutti i dettagli relativi a questo problema di sicurezza all'azienda americana, quindi probabilmente in OS X 10.10.4 sarà risolto definitivamente dagli americani.
Considerando che oggi ne ho avuto notizia una vulnerabilità molto grave esistente in oltre 1500 applicazioni disponibili nell'App Store, le informazioni su RootPipe non mettono certo in buona luce l'azienda Apple, anche se nel caso delle applicazioni la colpa non è di quelle di Cupertino, bensì degli sviluppatori.
