Trovata falla 0-day nel sistema operativo Mac OSx

Il nuovo anno non è iniziato molto bene per Apple, poichè il noto hacker “Siguza” ha trovato una nuova vulnerabilità 0-day chiamata IOHIDeous, sfruttabile con varie versioni di macOS. Il nome assegnato alla vulnerabilità è dovuto all’estensione del kernel IOHIDFamily che garantirebbe l’accesso all’hardware del Mac senza privilegi di amministratore.

0-day

Non è gravissima come falla, paragonata ad altre trovate tempo addietro, ma gli hacker potrebbero sfruttarla per portare a termine qualche attacco. L’exploit funziona su Sierra e High Sierra fino alla versione 10.13.1. Siguza conferma che la vulnerabilità non è utilizzabile con macOS 10.13.2 e che  non sa se Apple ha effettivamente risolto il problema.

L’hacker inoltre ammette di non aver avvisato Apple, perchè quest’ultima non offre ricompense per questi tipi di bug.

Non ho voluto venderla nel mercato blackhat perché non voglio essere utile alle loro cause. L’avrei inviata ad Apple se avessero un programma di bug bounty che include macOS o se la vulnerabilità potesse essere in qualche modo sfruttata in remoto.

Anche un esperto di sicurezza che aveva individuato una falla in HomeKit poco tempo fa, era stato costretto a rendere pubblica la notizia, perché Apple aveva preso sottogamba la questione. Dopo la rivelazione, finalmente Apple ha risolto il problema.

Per concludere Siguza ha dichiarato:

Ho pensato: perché non terminare il 2017 con il botto?”; “se avessi voluto vedere il mondo bruciare, avrei creato un ransomware zero day”.

Qui troverete tutti i dettagli tecnici.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *