Saptamana trecuta relatam cum utilizatorii ultimului sistem de operare al celor de la Apple, Tiger OS au reusit sa creeze asa-numitele widget-uri pentru Dashboard pentru a face sistemul lor mult mai accesibil utilizatorilor. Aceste widget-uri s-au dovedit, pe langa ajutorul care il ofera unora, adevarate metode de promovare a pornografiei.
Apple a reusit in decurs de o saptamana sa faca public un patch care se aseamana foarte mult cu renumitul sau fratior de la Microsoft, Service Patch. Update-ul 10.4.1 trateaza cinci gauri de securitate descoperite in versiunile de Mac Os. X 10.4 si Mac OS Server 10.4. Printre cele cinci vulnerabilitati se numara, asa cum era si firesc, si vulnerabilitatea de care vorbeam saptamana tracuta.
Prima dintre toate si, dupa spusele oficialilor, -cea mai grava dintre toate- este legata de sistemul Bluetooth, care in momentul in care este pornit genereaza erori de validare de date, iar prin folosirea atacurilor de tipul -directory traversal- se poate obtine, ce-i drept extrem de greu, acces la computerul vulnerabil.
-Am reparat greseala…-
A doua vulnerabilitate tratata este cea de la Dashboard si widget-urile create de utilizatori. Browserul Safari a fost in mare parte refacut, iar acum Safe Download Validation pare sa isi faca treaba pe deplin. Multe dintre widget-urile create de utilizatori au fost astfel respinse, -sistemul Mac OS X parca recunoste faptul ca widget-urile pe care vreau sa le instalez nu sunt dintre acelea cu bune intentii-.
-Nu e putred, dar se mai intampla si la altii mai mari-
O alta vurnerabilitate vine chiar din miezul sitemului condus de ceva timp de sistemele Unix/Darwin. Doua functii de sistem pot permite unor utilizatori destul de inteligenti sa obtina acces de superuser pe foldere de sistem protejate. Ca un exemplu, poate fi dat directorul /Public /Drop Box.
Darwin, sistem de amatori?
Sitemele X, Unix si mai noile Linuxuri au avut vechi probleme cu partajarea de fisiere in mod propriu, partajare conferita de serverul de NFS. Darwijn se pare ca nu se dezice de la regula, o vulnerabilitate clara aparand si la sistemul nfs.mount de la Apple. Verificarile insuficiente ale datelor de intrare pot fi exploatate de utilizatorii locali pentru a opri sistemul-tinta prin faimosul -nkernel panic-. Dupa cum se stie, Linuxul nu a renuntat, dar a limitat la aproape inexistenta aceasta eroare, Darwin in cazul nostru mai are de lucrat la asa ceva.
Screensaver, un element aparent inocent
Ce poate face un screensaver? Aparent nimic. Nu si in cazul Mac OS X. Screensavere de la Apple au un statut special. Ele pot genera erori grave de sisteme si in acelasi timp pot lasa utilizatorii fizici de pe sistem sa porneasca aplicatii de sistem in background. Sistemul de fisiere Darwin nu detecteaza in momentul in care ruleaza scrrensaver-ul ca aplicatiile de sistem sunt executate, permitand astfel rularea acestora cu drept de superuser.
In decurs de doua saptamani, Mac OS X a dovedit ca nu este nici pe departe un sistem care sa se poate lauda ca face concurenta clara fratilor mai mari Windows si Linux. Oferim pentru sistemul celor de la Apple nota 7 cu indulgenta si speram la cat mai putine -Apple Service Pack-.
Este recomandata aplicarea programului de actualizare (update) 10.4.1 lansat de producator. Acesta poate fi descarcat de la adresele de mai jos, in functie de versiune:
Mac OS X v10.4 -http://www.apple.com/support/downloads/macosxupdate1041.html
Mac OS X Server v10.4. – http://www.apple.com/support/downloads/macosxserver1041.html
