Pwn2Own: Mac Os X bocciato

Apple, dopo essersela cavata alla grande nel contest Pwn2Own per quanto riguarda la sicurezza di iPhone Os, non riesce a bissare lo stesso successo in ambito desktop.

Mac Owned

Charlie Miller, un hacker dell’evento Pwn2Own, è riuscito ad assumere il controllo di un MacBook aggiornato con tutti gli update di sicurezza disponibili.

“E’ davvero molto facile manipolare Safari su Mac. Su Windows ci sono ostacoli appositi per mitigare rischi di exploit, che Mac Os X non ha. [...] Con il mio exploit per Safari inserendo il codice in un processo, posso sapere esattamente dove lo ritroverò. Non c’è randomizzazione dei dati. Una volta trovato il codice, non avrò nessun problema ad eseguirlo. Su Windows il codice potrebbe apparire, ma non saprei dove. Anche se riuscissi a trovare il codice, non potrei eseguirlo. Queste sono due barriere che i Mac non hanno. [...] Non c’è quasi alcun tipo di ostacolo da raggirare per assumere il controllo di Mac Os X.” dichiara l’hacker.

Che nell’ azienda di Cupertino sia davvero scoccata l’ora di dare una revisione al comparto sicurezza?

[via] [immagine]

Tags: apple, exploit, Mac Os X, safari, Sicurezza

Alessio Maiello (25 marzo 2009 23:30)

L'utilizzo del contenuto di questo articolo è soggetto alle condizioni della Licenza Creative Commons. Sono consentite la distribuzione, la riproduzione e la realizzazione di opere derivate per fini non commerciali, purchè venga citata la fonte.

ZEB-DEMON

Sarà ora che i macfun abbassano la cresta? Il vincitore ha anche espressamente detto che windows è molto più sicuro di Mac os x solo che gli hacker nn ai sono mai interessati a quest’ultimo..

P.s.
Nn ho parlato di stabilità. (e cmq anche li c’è un discorso a parte)
ZEB-DEMON

Abbassino scusate
Wesker90

@ZEB-DEMON
Quanta disinformazione fai… Il vincitore non ha mai detto niente di quello che hai detto te, anzi, l’unico modo per riuscire a bucare Safari è stato prepararsi a casa un link che sfruttava un punto debole di safari. :S
IO

@Wesker90: è beh certo che l’hacker ha dovuto fare qualcosa..pensavi si bucasse da solo?
Marko AgRaMoN

@ZEB-DEMON: e dove l’avrebbe detto scusa ? mentre prendeva un aperitivo con te sulla luna in mezzo ai minipony e gli orsetti del cuore ?
Giuseppe Migliorino

l’hacker ha dichiarato di aver scoperto questa falla un anno fa, per questo è riuscito a bucare subito safari
Daddy_yanke

Dopo ke la Apple vedra il “bucone” che ce in Safari provedera sicuramente a sistemare il problema e non fara di certo come la microsoft
Alessio Maiello

@ZEB-DEMON: si parla di incursioni.
Per fare seri danni nei sistemi unix, serve ottenere diritti root, cosa non necessaria in windows.
FRAtello91

Windows 4 ever!!!!
Derrek

Sistemare/patchare questa vulnerabilta’ e’ una cosa, cosa ben diversa e’ quello che diceva “l’expoiter” di questa vulnerabilita’. L’exploiter si riferiva alle protezioni intrinsiche del sistema operativo come ASLR o NX.
@alessio: sotto windows devi cmq diventare Administrator
robegian

Ehm… dipingete la cosa MOLTO peggio di quanto sia in realtà :->

L’unico modo per accedere a qualcosa in Mac OS X da remoto è attraverso Safari (Mac OS X è ancora inviolato), e solo ed esclusivamente quando è attivo l’account amministratore (che per inciso è attivo in quasi tutti i Mac – raramente l’utente Mac usa il computer come utente non-amministratore, perchè comporta la seccatura d’impostare una multi-utenza): già loggandosi come utente non-amministratore, tale hack è impossibile.

Inoltre, i processi attivati da remoto hanno comunque bisogno di ottenere la password dall’utente per effettuare modifiche ai contenuti delle cartelle protette (Sistema, Libreria, eccetera), per cui le attività possibili di un tale codice sono piuttosto limitate. Poi, quello che l’hacker non dice è che gli è impossibile scrivere un file sul disco fisso da remoto: potrebbe solo operare solo sui processi attivi in RAM, ovvero se spegni il Mac, o solo se chiudi Safari, l’hacker perde il controllo e deve nuovamente attendere che il Mac e Safari siano attivi per ripetere l’intero processo.

Quindi rassegnatevi: Mac OS X è ancora il sistema più sicuro, e purtroppo Windows rimane quel colabrodo che è sempre stato…
robegian

P.S. Il titolo del vostro “articolo” è sbagliato e disinformativo: è Safari ad essere violato, non Mac OS X.
Alessio Maiello

@robegian: quello che fa disinformazione sei tu. Parole testuali dell’hacker: “Hacking into Macs is so much easier. You don’t have to jump through hoops and deal with all the anti-exploit mitigations you’d find in Windows.

It’s more about the operating system than the (target) program. Firefox on Mac is pretty easy too. The underlying OS doesn’t have anti-exploit stuff built into it.”

Se vuoi te lo traduco.
ZEB-DEMON

@Wesker90
@Marko AgRaMoN

dove le ho lette……. mmmh.. dove le ho lette?

“E’ davvero molto facile manipolare Safari su Mac. Su Windows ci sono ostacoli appositi per mitigare rischi di exploit, che Mac Os X non ha. [...] Con il mio exploit per Safari inserendo il codice in un processo, posso sapere esattamente dove lo ritroverò. Non c’è randomizzazione dei dati. Una volta trovato il codice, non avrò nessun problema ad eseguirlo. Su Windows il codice potrebbe apparire, ma non saprei dove. Anche se riuscissi a trovare il codice, non potrei eseguirlo. Queste sono due barriere che i Mac non hanno. [...] Non c’è quasi alcun tipo di ostacolo da raggirare per assumere il controllo di Mac Os X.”

e su ogni sito che tratti l’argomento, per me se l’italiano non è un opinione, qui dice che microsoft renda la vita + ostica agli hacker, il resto sono solo naturali considerazioni.. gli hacker si buttano su windows perkè è il + usato e dove quindi possono fare + danni (non al S.O. ma a numero di persone)

il fatto che abbia bucato safari non vuol dire nulla, lo stesso exploit su windows con safari non va, quindi è in difetto mac os x.
Pingback: Io Odio Il Mac Perch

Pwn2Own: Mac Os X bocciato

Ultime news da iPadItalia

Ultime news da SlideToMac

Risorse utili iPhone 4

Guide iPhone 3G e iPhone 3GS

Guide App Store

Risorse utili

Partners

Siti amici