Stando a quanto emerso nel corso delle ultime ore Mac OS X Lion 10.7.3, ovvero l’ultima versione del sistema operativo Apple, presenterebbe una grave vulnerabilità relativamente alla funzione FileValut.
Nel dettaglio, secondo quanto reso noto dal ricercatore di sicurezza David Emery, uno sviluppatore Apple ha lasciato attiva, in maniera inavvertita, la modalità di debug del codice che memorizza in un file di testo tutte quelle che sono le password di login degli utenti.
FileValut, infatti, è la tecnologia che viene impiegata sui computer Mac per effettuare la crittografia delle directory.
In tal modo, quindi, il file di log in cui risultano memorizzati i dati di debug può essere letto senza alcun tipo di problema effettuando il boot del sistema tramite un disco collegato mediante Firewire.
Considerando che il file in questione si trova all’esterno dell’area cifrata è dunque sufficiente effettuare un accesso come superuser per poter individuare tutte le credenziali di login degli utenti.
Oltre alle password anche i backup eseguiti mediante Time Machine sono affetti dalla vulnerabilità in questione poiché sono state create delle copie di sicurezza che, appunto, vanno ad includere il file di log incriminato.
Nello specifico, ad essere a rischio sarebbero tutti quegli utenti che hanno attivato tale funzionalità e che hanno effettuato l’aggiornamento dalla precedente versione dell’OS a differenza di coloro che, invece, si servono di FileValut 2 di OS X 10.7 poiché ad essere cifrato è, in questo caso, l’intero disco.
La soluzione migliore, almeno per il momento, per correre al riparo dalle possibili conseguenze di questo grave errore di programmazione consiste nel procedere alla modifica della password considerando che un eventuale aggiornamento di Apple non andrà ad eliminare il file di log delle copie di backup e tenendo anche conto del fatto che a partire dal momento del rilascio di Mac OS X Lion 10.7.3 le password in chiaro potrebbero essere state archiviate su svariati supporti.
Photo Credits | Flickr
Via | ZDNet
#1Anima
Il programmatore in questione sarà mandato in una fabbrica apple e condannato a sopravvivere come schiavo da catena di montaggio.
#2Geekone
Ma quante belle notizie arrivano di questi tempi prima si poteva dare la colpa a java per il malware, ed ora?
#3aid85
Che filevault facesse un pò pena nn l’ho mai dubitato.
Finalmente qualke grossa news “ufficiale” che lo conferma…
Vogliamo parlare della “ragionevolissima” scelta di NON cifrare i backup su NAS ?
Di nn supportare iscsi per aggirare tale mancanza?
Ah se solo ci fosse un buon PgP wde o TrueCrypt wde comodo per osx…