Una falla in Mail minaccia la sicurezza di Leopard

di Andrea "C. Miller" Nepori 1

security_logo.jpgUna falla dell’applicazione Mail minaccia la sicurezza degli utenti di Mac OSX 10.5. E’ quanto riportato in questo articolo dalla Heise Security, la stessa compagnia che aveva mostrato come l’iPhone in realtà non inviasse il codice IMEI ai server Apple bensì il più innocuo codice UUID. Il problema riguarda le immagini allegate ai messaggi di posta. Un cracker potrebbe mascherare da file jpeg un file eseguibile in modo che , se cliccato dall’ utente, il file eseguirebbe codice dannoso dal terminale senza nessun avvertimento da parte di Mail.

Riportiamo la spiegazione tecnica fornita da Heise Security:

Un file su Mac può contenere informazioni aggiuntive, ad esempio quale programma dovrà aprire quel determinato tipo di file. Il sistema operativo conserva queste informazioni nel file system in una cosiddetta ” resource-fork”, che viene collegata al file. Questo tipo di informazione è solitamente limitata all’utilizzo sul sistema locale; tuttavia per le email il formato MIME AppleDouble consente di allegare una “resource-fork” che viene automaticamente analizzata da Mail.

Per tutelarsi dal problema, vale la formula classica: applicare il buon senso ed evitare di accettare Jpeg dagli sconosciuti. Se volete verificare direttamente la vulnerabilità della vostra applicazione, a questo indirizzo trovate il test che Heise ha messo a punto.
Ho condotto personalmente il test con un account di prova (io solitamente uso Thunderbird) ed ho potuto verificare, come previsto, la vulnerabilità del mio client. Eccovi uno screenshot:

test.jpg

La debolezza deriva da una falla che era già stata corretta nel marzo del 2006 con un aggiornamento critico di Tiger. Probabilmente Apple non ha incluso questo aggiornamento nella versione di Mail per Leopard o non lo ha fatto in maniera corretta.
La vulnerabilità era già nota e possiamo dunque sperare che a Cupertino si siano già messi al lavoro per risolvere il problema.