.:: Securnetwork.net Blog – Massimo Rabbi ::.

Apple ha rilasciato la nuova versione del proprio sistema operativo per iPhone e iPod touch: disponibili infatti iPhone OS 3.1 e iPhone OS 3.1.1 rispettivamente.
L’aggiornamento è piuttosto corposo, all’incirca 300MB, e porta con sé numerosi miglioramenti, funzionalità e soprattutto bug fixing legati alla sicurezza.

La nuova versione migliora le informazioni per l’utente in fase di installazione applicazioni che facciano affidamento su altre già presenti nel dispositivo. Migliorate le performace Wi-Fi con Bluetooth attivo. Safari Mobile ha ora una nuova funzionalità anti-phishing.

La maggioranza degli aggiornamenti di sicurezza sono legati a errori in WebKit che consente l’injection e esecuzione di codice malevole nel dispositivo quando un utente visita determinati siti.
Incluso nel pacchetto anche l’aggiornamento riguardante il famoso bug degli SMS già corretto nella release 3.0.1 di inizio agosto.

Gli utenti iPod touch che non hanno ancora aggiornato alla versione iPhone OS 3.x, possono farlo ora comprando l’update su iTunes Store a 4.95$.

All’inizio di questo mese avevamo posto l’attenzione su una scoperta fatta da Charlie Miller riguardante l’errato parsing degli SMS da parte dell’iPhone.
Ulteriori dettagli sono stati rilasciati nell’arco della conferenza BlackHat tenutasi a Las Vegas nei giorni scorsi, evidenziando come non solo iPhone ma anche Android e Windows Mobile siano in pericolo.

Per quanto riguarda iPhone, Apple ha rilasciato nella giornata di venerdì 31 luglio la versione aggiornata del firmware, la 3.0.1.
Tutti i dettagli in questa pagina relativa al security update.

Charlie Miller, security researcher presso Independent Security Evaluators, ha dimostrato che sfruttando un bug nella modalità di parsing SMS dell’iPhone è possibile disconnettere il dispositivo dal network dell’operatore.
Miller è ancora alla ricerca di una maniera per sfruttare la vulnerabilità per eseguire codice remoto.
Laddove l’exploit risultasse praticabile si aprirebbero scenari abbastanza preoccupanti: iPhone zombie che possono essere monitorati/localizzati (sfruttando il gps integrato) o usati come “microspie” grazie al microfono integrato.

La scoperta è stata presentata alla conferenza SyScan a Singapore nella giornata di ieri e ulteriori dettagli verranno rilasciati in occasione del Black Hat in programma a Las Vegas verso la fine di questo mese.
Fondamentale nella scoperta del bug anche Colin Mulliner.

APPROFONDIMENTI:
- iPhone crashing bug could lead to serious exploit, by The Register

Apple ha rilasciato Java for Mac OS X 10.4 Release 9 e Java for Mac OS X 10.5 Update 4 per fixare alcune note vulnerabilità di sicurezza riguardanti la piattaforma Java.
A metà maggio, l’esperto di sicurezza Landon Fuller aveva pubblicato un exploit per Mac OS X, dimostrando quanto fosse semplice sfruttare la vulnerabilità Java.
Fin da allora Apple è stata ampiamente criticata per lasciare i propri utenti “non protetti” cosi’ a lungo.
Un’altro esperto di sicurezza, Rich Mogull, ha proposto l’introduzione di un programma “Secure Software Development” per prodotti Apple più importanti e la nomina di un Chief Security Officer (CSO) che faccia da coordinatore e da elemento trainante affinchè Apple possa rispondere in modo più veloce ed efficiente alle problematiche di sicurezza.

L’aggiornamento della “Mela” include i fix per alcune vulnerabilità critiche in Java 1.6, 1.5 e 1.4.
Una falla “extra” non riportata da Fuller è stata patchata in Mac OS X 10.5: era possibile per applet Java non firmate ottenere i privilegi per eseguire codice malevole.
L’aggiornamento rilasciato da Apple tuttavia incorpora la versione Java 6 Update 13, nonostante alla fine di maggio sia stato rilasciato l’update 14.
Stando a Sun tuttavia l’aggiornamento Java 6 Update 14 non chiude alcuna vulnerabilità, ma aggiunge una nuova funzionalità “blacklist”.
Grazie a questa, il Java Plug-in e Web Start controllano una blacklist per verificare se caricare o meno eventuali jar “malevoli” o non sicuri.

FONTE: Apple closes vulnerabilities in Java by Heise Security

Apple col suo Security-Update 2009-001, ha rilasciato numerosi fix di sicurezza per Mac OS x v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6 e Mac OS X Server v10.5.6.
L’aggiornamento risolve anche il problema riguardante il browser Safari scoperto a metà gennaio. Il bug consentiva attraverso un particolare feed RSS di leggere i file dall’hard disk dell’utente.
Un update separato è disponibile per la versione di Safari 3.2.2 su Windows.
Risolti anche altri problemi scoperti in vari componenti Mac OS X inclusi X11, Samba, Squirrelmail, Python, Perl, CUPS, CFNetwork, ClamAV, e AFPServer CarbonCore.
Aggiornate anche le versioni di Java per Mac OS X 10.5 e e 10.4.
Risolti bugs inerenti Java Web Start e il plugin Java.

Riferimenti:
* About the security content of Security Update 2009-001, report from Apple.
* About the security content of Java for Mac OS X 10.4, Release 8, report from Apple.
* About the security content of Java for Mac OS X 10.5 Update 3, report from Apple.
* Apple closes critical security vulnerability in Safari, by Heise Security

Apple con l’aggiornamento di sicurezza 2008-002 ha fixato ben 46 vulnerabilità in Mac OS X e programmi di terzi parti in esso inclusi. Ben 25 delle vulnerabilità consentirebbero di effettuare code-injection.

L’aggiornamento fixa vulnerabilità presenti in: AFP client e server, Appkit, Application Firewall, CFNetwork, CoreFoundation, CoreServices, Foundation, Help Viewer, Image Raw, libc, Podcast Producer, Preview, printing, system configuration e UDF.
Tra gli aggiornamenti dei software di terze parti inclusi da segnalare: Apache, ClamAV, CUPS, curl, Emacs, file, Kerberos, mDNSResponder, notifyd, OpenSSH, pax, PHP, Wiki Server e X11.

L’aggiornamento a Safari rilasciato ieri fixa altre 13 vulnerabilità di sicurezza.
Tutti gli aggiornamenti sono disponibili attraverso il sistema automatico di update.
Aggiornamento consigliato appena possibile!

Riferimenti:
- About Security Update 2008-002, security advisory from Apple
- About the security content of Safari 3.1, security advisory from Apple
- Apple security update fixes 46 bugs, by Heise Security

Nuovi problemi all’orizzonte per il recente sistema operativo MacOSX Leopard.
Stando alle segnalazioni ci sarebbe una vulnerabilità di tipo DoS che se sfruttata puo’ causare il crash del sistema operativo.
Il problema risiede nell’overflow di una variabile intera nella funzione load_threadstack in mach_loader.c nella fase di processing di binari Mach-O. Risultato: un kernel panic.

Qualora il sistema venga usato in ambito domestico, la vulnerabilità non rappresenta un rischio visto che il bug può essere sfruttato solamente da utenti loggati.
Diverso discorso invece nel caso di sistemi multi-utente, visto che non sono richiesti particolari privilegi per provocare l’errore in questione.
La vulnerabilità riguarda Mac OS X 10.5, 10.5.1 e 10.4.11.
Ancora nessuna patch disponibile, ma un exploit di test sì.

Un’altra segnalazione da parte di digit-labs.org ha messo in evidenza una vulnerabilità DoS nel servizio VPN di Mac OS X 10.5 (vpnd).
L’invio di pacchetti appositamente “confezionati” può portare al freeze del demone.
Anche di questo problema esiste un exploit funzionante.
Nessuna patch è ancora disponibile. Il workaround è dunque quello di restringere l’accesso al servizio vpn solamente a client noti.

RIFERIMENTI:
* CVE-2007-6261 Integer overflow in the load_threadstack function in the Mach-O loader, security advisory on CVE
* Apple Mac OS X VPND Remote Denial of Service Vulnerability, security advisory on Bugtraq
* Apple Leopard crash risk, by Heise Security

Apple ha rilasciato l’aggiornamento firmware 1.1.2 per l’iPhone e iPod Touch, che corregge le falle scoperte nella libreria TIFF, usate dai possessori di iPhone per eseguire codice di terze parti e personale.
Una volta installato da iTunes, l’aggiornamento impedisce l’esecuzione di codice di terze parti sfruttando files TIFF manipolati.
La falla è stata sfruttata in alcune occasioni da utenti malintenzionati per fare injection di codice arbitrario sul dispositivo.

Gli utenti iPhone desiderosi di far girare le proprie applicazioni personali dovranno attendere ora il rilascio del Software Development Kit (SDK), in programma per febbraio 2008.
Detto questo sono pero’ in circolazione su internet nei vari siti e forum dedicati, le istruzioni su come installare l’aggiornamento senza perdere la possibilità di far girare codice di terze parti (vedi Unofficial Apple Weblog).
L’aggiornamento è invece una priorità di sicurezza per tutti coloro che usano l’iPhone o l’iPod Touch per navigare su Internet.

LINKS:
- About the security content of iPhone v1.1.2 and iPod Touch v1.1.2 Updates, Apple’s security advisory
- Apple closes TIFF hole in iPhone, news by Heise Security

Qualche tempo fa avevo segnalato un bellissimo video su Youtube in cui uno smanettone mostrava come era riuscito a creare un “clone” dell’interfaccia dell’iPhone, al tempo non ancora uscito.
Dopo allora non mi ero più interessato alla cosa e sinceramente non avevo nemmeno più cercato nulla sull’argomento.

Ieri navigando mi è capitato di beccare questa interessante segnalazione su SoftArchive.net.
“Turn your WM5 smartphone into an iPhone”

Il file .rar di quasi 5 mega che è hostato su Rapidshare contiene all’interno un po’ di applicativi e una serie di istruzioni su come installare e configurare il tutto.
Personalmente per motivi di tempo non ho ancora avuto modo di testarlo sul mio HP rw6815. In ogni caso chi ha vogli di provare mi faccia sapere come va!

A quanto pare leggendo i numerosi post e messaggi sparsi in giro su Internet sembra che il nuovo aggiornamento rilasciato dalla Apple per il proprio gioiellino iPhone sia alquanto “instabile”.
Dopo l’aggiornamento al nuovo firmware 1.1.1 (codename “Bricker”), al successivo reboot, molti terminali bloccati e non sembrano presentare problemi di svariata natura.
Nei casi di iPhone sbloccati mediante il software anySIM, per esempio compare la scritta “SIM card not supported”. A quel punto risulta impedito l’accesso ai menu e funzioni base, anche nel caso venga reinserita la scheda AT&T originale. Tra gli altri problemi si segnala inoltre l’impossibilità di usare molti se non tutti i programmi di terze parti precedentemente installati.

Per approfondire il problema fare riferimento ai seguenti link:
- Apple update takes down tweaked iPhones, by Heise Security
- Apple iPhone support forum topics, sul sito Apple
- iPhone Firmware 1.1.1 Out and Tested: Breaks 3rd-party Apps, Relocks iPhones and Sends Them to Semi-Brick Activation Limbo (Updated with video), su Gizmodo
- Apple update disables unlocked iPhones, su MacWorld.com

Apple ha rilasciato un aggiornamento di iTunes per Mac e Windows per fixare un bug che poteva essere sfruttato per infettare i sistemi degli utenti attraverso file musicali opportunamente modificati.
Apple ha dichiarato che l’apertura di uno di questi tipi di file provoca un buffer overflow durante l’operazione di lettura della cover dell’album.
Stando a David Thiel di iSEC la falla dipende da un errato parsing del ‘covr’ atom di un file MP4/AAC.
Le nuove versioni per Mac OS X v10.3.9, Mac OS X v10.4.7, Windows XP e Vista sono disponibili per il download sul sito Apple.

Approfondimenti:

• About the security content of iTunes 7.4, security advisory by Apple
• iTunes 7.3.x – Heap overflow in album cover parsing, security advisory by iSec
• Apple fixes critical hole in iTunes, security advisory by Heise-Security

Oltre ad aggiungere il supporto per YouTube, la versione 1.1 di Apple TV chiude una falla piuttosto pericolosa. La vulnerabilità consentiva di effettuare code-injection e eseguire codice remoto sul device.
Il problema è causato da un bug nell’implementazione Apple dell’Internet Gateway Device Standardized Device Control Protocol, utilizzato dal dispositivo per segnalare, tra le altre cose, al router via UPnP quali porte aprire.
Sembra si verifichi un buffer overflow durante il processing di determinate pacchetti UPnP: questo consente di scrivere codice nello stack dell’applicazione e eseguirlo.
Stando all’advisory sembra la falla possa essere sfruttata da remoto: non è ancora chiaro però se quel “remoto” significhi dalla LAN interna oppure proprio da Internet.
Questo perchè tipicamente i pacchetti UPnP non vengono instradati attraverso Internet.
I problemi con il protocollo UPnP non sono di certo recenti: molto spesso sono stati riscontrati problemi nel supporto fornito dagli stessi router/firewall visto che non di rado capitava che venissero usati come relay o proxies in maniera “malevole”.
L’update viene installato in maniera automatica, anche se c’è da ricordare che il meccanismo di software update dell’Apple Tv è programmato per attivarsi una volta alla settimana. L’utente può tuttavia procedere all’aggiornamento in maniera manuale.

LINK:
- About the security content of Apple TV 1.1, Apple’s security advisory

Sul sito di Apple sono recentemente comparsi 3 spot pubblicitari che preparano il lancio del tanto atteso iPhone.
Il link per vedere i video è questo: http://www.apple.com/iphone/ads/
Che dire, di certo un bel gioiellino!

Nella giornata di ieri Apple ha rilasciato il quarto security update dell’anno, patchando ben 25 vulnerabilità del proprio sistema operativo, 24 delle quali interessano la versione 10.4 di Mac OS X.
All’interno della lunga lista anche una patch per reti wireless per sistemi più vecchi.
Tre fixes interessano il demone di autenticazione Kerberos e altri tre il sistema Login Window.
Le altre patches interessano servizi Unix come ftpd, GNU tar, fecthmail, WebDAV e SMB. Due fixes a Libinfo impediscono ora a siti web malevoli di poter eseguire codice arbitrario.
Apple ha aggiornato anche i servizi usati in iChat e in System Configuration.

LINK:
- About Security Update 2007-004, dal sito Apple

Vi segnalo un interessante software che consente di trasformare completamente dal punto di vista grafico il proprio sistema operativo Windows e renderlo Mac Os X like.
Il software in questione è FlyakiteOSX 3.5, uno shell pack di cui di seguito elenco brevemente i requisiti di sistema:
- Pentium 3 800Mhz
- 128 MB Ram
- 30 MB di spazio libero
Una volta installato il sistema si appesantisce leggermente quindi è consigliabile utilizzarlo solo se avete per lo meno 512MB o più di RAM.

Visto che il sito principale del programma al momento non è raggiungibile ho messo online l’exe del pacchetto.
Buon download e buon restyling!

Il security update 2007-003 per Mac OS X 10.3.9 e 10.4.9 chiude ben 41 buchi di sicurezza nella versione server; almeno 14 di questi possono essere usati per iniettare codice in un sistema e eseguirlo in maniera remota.
Riguardo alla sola elaborazione delle immagini disco Apple è stata costretta a rimuovere otto bugs, sei dei quali portati alla luce dal Month of Apple Bugs.
Sono stati inoltre patchati altre “vulnerabilità MoAB”, come bugs nell’elaborazione del protocollo AppleTalk, in ImageIO, QuickDraw,CoreGraphics e nel meccanismo di software update.
Corrette altre sette falle per MySQL Server, delle quali almeno una permette l’esecuzione di codice injected.
Apportate anche patches anche per vulnerabilità al kernel, ColorSync, Crash Reporter, il servizio di stampa CUPS, Printer Center, Directory Services, il player Flash, SMB File Server (Samba), OpenSSH, Weblog, gnutar e sudo.
Siccome alcuni di questi servizi non sono presenti nella versione client di Mac OS X, in quel caso sono state chiuse molte meno falle.
Un bug report sulla versione 10.3.9 riporta la lista completa.
Un update seperato tappa la falla in iPhoto. Nonostante questo Apple non ha ancora patchato tutte le vulnerabilità attualmente scoperte.

Tuttavia gli aggiornamenti alla sicurezza non sono state le uniche novità.
L’update per la versione 10.4.9 migliora numerose funzionalità. Migliorata la qualità di riproduzione dei DVD, incrementato il supporto al numero di USB cam per iChat e altre aggiustamenti che stando a quanto dichiarato avrebbero migliorato stabilità e performance del server.
Tutti questi aggiornamenti, il cui peso ammonta all’incirca a 160 MB, possono essere acceduti direttamente tramite la funzionalità di update del sistema operativo, o scaricati come package a parte dal sito.
Per una panoramica di tutti gli updates (nelle varianti server e client) per sistemi Intel e PPC si consulti la relativa pagina sul sito Apple.

Qualcuno in attesa del rilascio di iPhone, ha deciso di realizzare da sè un’interfaccia in stile iPhone da mettere sul proprio Pocket Pc.
E’ il caso di questo smanettone che ha realizzato un programma che gira in full screen…
Il tutto utilizzando PPL 1.20 che può essere scaricato gratuitamente all’indirizzo http://arianesoft.ca. Si tratta di un linguaggio di programmazione, PPL appunto (acronimo per Pocket Programming Language), pensato per realizzare in maniera rapida e veloce applicazioni per i dispositivi mobile.
L’autore stando a quanto scrive nei commenti di risposta ad alcuni utenti su YouTube, non ha ancora intenzione di rilasciare il software, onde evitare di incorrere in possibili problemi legali con Apple.
“Thanks for the compliments. I haven’t plan on releasing it yet because I might run into legal issues with Apple. We’ll see how it goes ”
Per il momento non resta che fargli i complimenti… gustatevi il video!

Girovagando qua e là nella rete mi è capitato di incappare in una interessante analisi di iSuppli Corporation che parla di un possibile margine di guadagno del 50% per il nuovo gioiellino di Steve Jobs.
Stando all’analisi “produrre” un iPhone costerà alla Apple tra i 245.83$ e 280.83$, per le versioni 4Gbyte e 8Gbyte rispettivamente.
Ma ecco tutti i dettagli:

La Mozilla Foundation sembra fortemente convinta che una delle prossime mosse di Apple potrebbe essere il rilascio di una versione per Windows del proprio browser Safari.
Nelle pagine Wiki infatti sotto la voce “Observations & Assumptions” riguardanti la futura versione Firefox 3 (Codename: Gran Paradiso) compariva fino a poco tempo fa una frase alquanto emblematica:
“Apple may have Safari on Windows with likely ties to iTunes & .Mac”

L’articolo che faceva riferimento all’accaduto è stato pubblicato da ZDNet l’11 gennaio, tuttavia ad oggi della fantomatica frase non si trova traccia nel wiki di Mozilla.
Sembra che ci siano già state in passato voci di corridoio riguardanti “Cocoa”, l’ambiente di programmazione object-oriented per Ma OS X, e un suo possibile porting da parte di Apple su piattaforma Windows: questo non farebbe altro che rendere piu’ semplice l’arrivo di Safari sui sistemi di casa Microsoft.
Leggi il resto dell’articolo »

Se vi interessa dare uno sguardo alle funzionalità principali del nuovo nato in casa Apple date un’occhiata a questo video su YouTube.
Certo la cosa non può che lasciare a bocca aperta.
L’unico mio dubbio resta sempre legato al problema del touchscreen. Quanto durerà il display?!