A tutti piacciono i regali gratuiti di Apple, in particolare gli aggiornamenti software gratuiti. Roba migliore gratis —chi potrebbe obiettare? Eppure, quando Apple ha rilasciato quattro aggiornamenti software nell'arco di due settimane, dal 15 novembre a novembre 29, in arrivo sulla scia di un grande e in gran parte non documentato aggiornamento di Mac OS X, è stato sufficiente per dare a chiunque pausa.
Per far luce su questo recente ciclo di aggiornamenti, diamo un'occhiata a Aggiornamento di sicurezza 2005-009, il più significativo e ampiamente rilevante del gruppo.
Aggiornamento di sicurezza 2005-009
Potresti essere stato ancora più confuso riguardo al rilascio del 29 novembre di Aggiornamento di sicurezza 2005-009 del solito, almeno se esegui Mac OS X 10.3.9. Per il primo giorno di rilascio, i collegamenti sulla pagina di download di Apple sono stati interrotti e hanno reindirizzato il browser a, beh, niente. Software Update presentava e scaricava correttamente l'aggiornamento di sicurezza 2005-009 sui sistemi Mac OS X 10.3.9, ma le persone che volevano scaricarlo manualmente da un browser dovevano aspettare fino al giorno successivo.
Con ciò risolto, il nono aggiornamento di sicurezza di Apple del 2005 era disponibile nelle quattro configurazioni previste: per Mac OS X 10.3.9, Mac OS X Server 10.3.9, Mac OS X 10.4.3 e Mac OS X Server 10.4.3. Le versioni Tiger sono 5 MB e 6 MB per le versioni regolari e server, rispettivamente; le versioni Panther sono rispettivamente da 20 MB e 33 MB. Sono più grandi perché le versioni Panther, a differenza delle versioni Tiger, includono correzioni da aggiornamenti precedenti, inclusi i file che abbiamo trovato negli aggiornamenti di sicurezza 2005-008 e 2005-007. Le versioni Tiger non includono correzioni precedenti perché richiedono Mac OS X 10.4.3, che è stato rilasciato ad Halloween e include l'aggiornamento di sicurezza 2005-008 e correzioni precedenti.
Ciò, a proposito, non vuol dire che Mac OS X 10.4.3 stesso non includa nuove correzioni di sicurezza non trovate in precedenza in alcun aggiornamento di sicurezza. Lo fa. Le cinque vulnerabilità di sicurezza documentate chiuse in Mac OS X 10.4.3 sono riassunte nella tabella seguente. Due di essi comportano modifiche fuorvianti o ritardate all'appartenenza al gruppo o alla proprietà dei file, un altro riguarda l'accesso al portachiavi che non riesce a oscurare qualsiasi elemento visualizzato password quando il loro portachiavi si blocca a causa di un timeout e un altro ti impedisce di non ignorare un aggiornamento software in sospeso a meno che non sia stato attivato un nuovo aggiornamento non ignorato arrivato. (Se tutto questo non fosse abbastanza confuso, i numeri di vulnerabilità ora iniziano tutti con "CVE" invece di "CAN" grazie a un decisione di ridenominazione implementato il 19 ottobre.)
Correzioni di sicurezza in Mac OS X 10.4.3
| Componente | Problema | ID vulnerabilità | 10.4.2 cliente | 10.4.2 Server |
|---|---|---|---|---|
| Cercatore | Le informazioni visualizzate sulla proprietà del file e del gruppo potrebbero avere poco a che fare con le informazioni sulla proprietà effettiva | CVE-2005-2749 | X | X |
| Aggiornamento software | Contrassegnando tutti gli aggiornamenti disponibili come "ignora", l'aggiornamento software si chiudeva immediatamente senza dare la possibilità di reimpostare lo stato di qualsiasi aggiornamento ignorato in precedenza | CVE-2005-2750 | X | X |
| Accesso portachiavi | Se un portachiavi si blocca a causa di un timeout durante la visualizzazione di una password memorizzata in quel portachiavi, la password rimane visibile invece di essere oscurata quando il portachiavi si blocca | CVE-2005-2739 | X | X |
| membro | Il demone che applica le modifiche all'appartenenza al gruppo non ha aggiornato gli elenchi di controllo di accesso (ACL) abbastanza rapidamente, consentendo agli utenti che erano stati eliminati dai gruppi di continuare ad accedere ai file di gruppo | CVE-2005-2751 | * | X |
| Kernel Mach | Le interfacce del kernel potrebbero restituire dati dalla memoria "non inizializzata" che in realtà erano già stati utilizzati e rilasciati dal kernel, potenzialmente contenenti dati sensibili rimanenti | CVE-2005-1126, CVE-2005-1406, CVE-2005-2752 | X | X |
X = Risolto in questo aggiornamento; * = Il componente o la funzione interessata non è mai stato presente in questa versione
La vulnerabilità del kernel risolta in Mac OS X 10.4.3 merita un momento di spiegazione. I programmi richiedono memoria dal sistema operativo da utilizzare per i propri scopi e la rilasciano nuovamente al sistema operativo quando hanno finito, quindi il sistema operativo potrebbe riutilizzarla per altre richieste di RAM. Tuttavia, la maggior parte dei programmi non cancella il contenuto della memoria prima di rilasciarlo, perché ciò richiede tempo e di solito non è necessario. Il sistema operativo non cancella la memoria rilasciata per lo stesso motivo.
Il kernel, tuttavia, dovrebbe cancellare la memoria Esso rilasci. Il kernel non vuole mai passare la memoria non inizializzata ai chiamanti, perché il chiamante potrebbe quindi vedere parte di ciò che l'altro codice del kernel aveva memorizzato in quella RAM: un buffer di file, una password, un pacchetto di rete e così via SU. Suresec trovato due problemi che potrebbe rivelare la memoria del kernel ai chiamanti in Mac OS X (o FreeBSD, o entrambi), e la gente di FreeBSD ha trovato l'altro. Mac OS X 10.4.3 corregge tutti e tre, ma Apple non ha rivelato se Mac OS X 10.3.9 soffre di difetti simili.
L'aggiornamento di sicurezza 2005-009 aggiunge ulteriori correzioni a quella linea di base. Sono riassunti di seguito, con colonne aggiuntive per le quattro versioni separate dell'aggiornamento. Come puoi vedere nella tabella, molti degli errori sono i problemi di overflow del buffer comuni e facili da risolvere di cui abbiamo discusso in MWJ 2005.08.20. Altri errori tipici sono nell'analisi, come il bug di Safari che fa scaricare al browser file con estensione “very long" in una directory imprevedibilmente errata o il motore delle espressioni regolari in JavaScriptCore that Potere buffer di overflow con un'espressione maliziosa.
Correzioni dell'aggiornamento di sicurezza 2005-009
| Componente | Problema | ID vulnerabilità | 10.3.9 | 10.3.9 Server | 10.4.3 | 10.4.3 Server |
|---|---|---|---|---|---|---|
| Apache 2 | Aggiornamento alla versione 2.0.55, correggendo le vulnerabilità inclusi i problemi di cross-site scripting con alcuni server intermedi | CVE-2005-2088 | * | X | * | X |
| apache_mod_ssl | Le configurazioni che utilizzano la direttiva SSLVerifyClient potrebbero consentire di ignorare l'autenticazione client SSL richiesta | CVE-2005-2700 | X | X | X | X |
| Fondazione Nucleo | L'URL creato in modo dannoso può causare l'overflow di un buffer durante l'analisi | CVE-2005-2757 | * | * | X | X |
| Servizi di base | Il bundle Update to Core Types aggiunge i file con estensione ".term" (file Terminal) all'elenco "eseguibili non sicuri" dei file scaricati | N / A | * | * | X | X |
| arricciare | L'utilizzo dell'autenticazione NLTM con un server HTTP dannoso può causare l'overflow di un buffer ed eseguire codice arbitrario | CVE-2005-3185 | * | * | X | X |
| pagine man | Documentazione aggiornata per OpenSSH e PAM | N / A | # | # | X | X |
| Amministratore ODBC | Il programma iodbcadmintool interno potrebbe consentire l'esecuzione di codice arbitrario con i suoi privilegi di root | CVE-2005-3700 | X | X | X | X |
| OpenSSL | Aggiornato alla v0.9.7i per impedire il downgrade a SSLv2 (da SSLv3 o TLS) quando si utilizzano le opzioni di compatibilità o non si disabilita esplicitamente SSLv2 | CVE-2005-2969 | X | X | X | X |
| server di password | Le credenziali potenzialmente compromesse durante la creazione di un server master Open Directory potrebbero consentire agli utenti locali senza privilegi di ottenere privilegi di server elevati | CVE-2005-3701 | * | X | * | X |
| Veloce bozza | Miglioramento non specificato nei file di disegno "PICT". | N / A | X | X | # | # |
| Safari | I nomi di file lunghi suggeriti dai server per i download possono far sì che Safari salvi i file in una posizione errata, magari accessibile ad altri utenti | CVE-2005-3702 | X | X | X | X |
| Safari | Le finestre di dialogo create dal codice JavaScript ora mostrano il nome del sito il cui codice ha creato la finestra di dialogo | CVE-2005-3703 | X | X | X | X |
| Safari | Miglioramento non specificato della gestione del “codice di sicurezza della carta di credito”. | N / A | X | X | X | X |
| Migrazione del server | Rimuove i privilegi non necessari di cui l'utilità non ha bisogno | N / A | ? | ? | ? | ? |
| sudo | Aggiornamento alla versione 1.6.8p9 per impedire alle configurazioni personalizzate di consentire l'escalation dei privilegi non autorizzata | CVE-2005-1993 | X | X | X | X |
| syslog | I messaggi di registro con caratteri di nuova riga potrebbero simulare nuovi messaggi per eventi che non si sono verificati | CVE-2005-3704 | * | * | X | X |
| Kit web | Il motore PCRE per JavaScript ha un overflow del buffer potenzialmente sfruttabile che potrebbe consentire l'esecuzione di codice arbitrario | CVE-2005-2491 | X | X | X | X |
| Kit web | Il download non specificato di contenuto può causare l'overflow di un buffer ed eseguire codice arbitrario | CVE-2005-3705 | X | X | X | X |
X = Risolto in questo aggiornamento; * = Il componente o la funzione interessata non è mai stato presente in questa versione; # = il bug non era presente in questa versione prima di questo aggiornamento;? = sconosciuto
Le note di aggiornamento di Apple contengono una sezione contrassegnata come "informazioni aggiuntive" che descrive le modifiche che, per nessun motivo divulgato, sono inclusi in un "Aggiornamento di sicurezza" ma a cui non sono assegnati numeri di vulnerabilità. Uno di questi sta cambiando "Tipi di base per migliorare la gestione dei file di terminale" per Mac OS X 10.4.3. Questo è gestito tramite un file XML trovato su
/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/System. Come discusso in precedenza, questo file contiene l'idea del sistema di quali tipi di file, tipi MIME ed estensioni di file rappresentano file sicuri e "pericolosi" da scaricare. L'aggiornamento di sicurezza 2005-009 aggiunge l'estensione del nome file
.terminealla categoria degli "eseguibili non sicuri". Quando scarichi un file di questo tipo in Safari o in qualsiasi altra applicazione che utilizza Core Types, verrai avvisato che potrebbe contenere codice eseguibile. (Safari dice che "contiene un'applicazione".) C'è un modo integrato in Tiger che puoi modificare Core Types e aggiungi i tuoi tipi o sovrascrivi le impostazioni predefinite del sistema, ma Apple non ha ancora documentato Esso.
Questa “informazione aggiuntiva” è sconcertante. Negli ultimi anni, Apple è stata attenta a risolvere solo i problemi di sicurezza negli aggiornamenti di sicurezza. I bug non di sicurezza attendono le revisioni del sistema operativo o installazioni separate come un aggiornamento AirPort o un aggiornamento del lettore DVD. Modifiche come l'aggiornamento dei tipi principali per avvisarti dei file di terminale contano chiaramente come correzioni di sicurezza, come apparentemente l'aggiornamento di Safari "per migliorare la gestione dei codici di sicurezza delle carte di credito".
Ma se si tratta di problemi di sicurezza, perché Apple non ha ottenuto i numeri CVE per loro e non li ha documentati normalmente? Che cosa è legato alla sicurezza nel migliorare il rendering dei file PICT di QuickDraw? Se gli aggiornamenti di sicurezza iniziano a includere regolari correzioni di bug, un sistema che è già un po' confuso potrebbe diventare decisamente impenetrabile. Ciò non gioverebbe ad Apple o ai suoi clienti.
La magia degli aggiornamenti
La funzione di aggiornamento del software di OS X dovrebbe semplificare la gestione del sistema, avvisandoti degli aggiornamenti di cui hai bisogno, scaricandoli in background se sono contrassegnati come urgenti e installandoli per te quando lo sei pronto. Eppure sappiamo che questo non sta accadendo, con l'aggiornamento di sicurezza 2005-009 e altri aggiornamenti, perché lettori, amici e familiari continuano a dircelo. Ignorano semplicemente ciò che viene visualizzato dall'aggiornamento software perché non riescono a capire cosa dovrebbero fare gli aggiornamenti.
Apple non si è mai impegnata pubblicamente nei programmi per gli aggiornamenti di Mac OS X o gli aggiornamenti di sicurezza, ma in generale i primi arrivano trimestralmente e i secondi mensilmente. È una regola empirica, non una legge della natura: ci sono stati nove aggiornamenti di sicurezza nel 2005 e tre aggiornamenti di Mac OS X 10.4 nei sei mesi in cui è stato disponibile. Ma ancora una volta, l'intento aiuta le persone a dare un senso agli aggiornamenti e sentirsi sicuri nell'applicarli. Gli aggiornamenti di sicurezza arrivano ogni quattro-sei settimane e risolvono solo le vulnerabilità che gli aggressori potrebbero sfruttare. Gli aggiornamenti di Mac OS X arrivano ogni trimestre circa e correggono bug di sicurezza e non di sicurezza nel sistema operativo. Importanti aggiornamenti nel frattempo arrivano per componenti mirati, come AirPort Extreme o Java 2SE 5.0.
È facile, prevedibile, sensato, nella misura in cui tiene insieme. Non è abbastanza buono per arrivare all'80% della strada verso l'obiettivo. Eliminare l'ultimo 20 percento lascia tutti perplessi sugli aggiornamenti e rende il primo 80 percento delle comunicazioni in gran parte irrilevante. Questo è quello che è successo in questo trimestre.
Mac OS X 10.4.3 non è meno documentato della maggior parte degli aggiornamenti di Mac OS X, ma più informazioni avrebbero aiutato. Successivamente, abbiamo ricevuto un aggiornamento di sicurezza che potrebbe contenere correzioni non di sicurezza, un aggiornamento Java con ottime note di rilascio per gli sviluppatori ma quasi nessuna spiegazione per l'utente, un AirPort appena documentato Aggiornamento con due nomi diversi (e un'edizione con due numeri di versione), un sintonizzatore a banda larga non adatto alla maggior parte delle persone con banda larga e un aggiornamento del firmware in ritardo di un anno.
È incredibilmente frustrante perché Apple è così vicina a far funzionare correttamente gli aggiornamenti. Le regole non sono complicate.
La lingua dell'aggiornamento di Apple urla, al massimo volume, "Non vogliamo dirti troppo su questo aggiornamento perché siamo imbarazzati a proposito." Ciò rende un disservizio alla maggior parte delle persone che sono riluttanti a installare aggiornamenti misteriosi sui sistemi funzionanti. Se ciascuno degli aggiornamenti di novembre di Apple fosse stato chiaramente nominato, descritto e presentato, tutti avrebbero saputo cosa aspettarsi. E immagina quanto tempo il mondo potrebbe dedicare ad attività più fruttuose se nessuno dovesse mai chiedere cosa fa un aggiornamento Apple.
[ Estratto con il permesso dal numero del 10 dicembre di MWJ, pubblicato da MacJournals.com. Copyright 2005, GCSF Incorporated. Per una prova gratuita di MWJ, visita www.macjournals.com. ]