Una vulnerabilità simile a quella che in passato consentiva l’esecuzione del jailbreak dell’iPhone direttamente da una pagina web è presente anche in Mac OS X 10.5.x “Leopard”, la penultima versione del sistema operativo Apple, ancora molto diffusa e utilizzata da almeno un terzo degli utenti Mac OS X. Il bug, scoperto da alcuni esperti di sicurezza della CoreLabs Research, è stato segnalato ad Apple ma questa non è ancora riuscita a risolvere nei tempi previsti la vulnerabilità; secondo lo scheduling di Cupertino la vulnerabilità avrebbe dovuto essere risolta in concomitanza con il rilascio di alcuni update di sicurezza previsti per ottobre, ma a tutt’oggi nulla è stato ancora rilasciato.
La vulnerabilità, come già detto, potrebbe colpire solo gli utenti di Mac OS X 10.5.x (il nuovo Mac OS X 10.6.x Snow Leopard non è affetto dal problema) e sfrutta un bug nel parser dei font che consente l’esecuzione di codice arbitrario sfruttando i file PDF per incorporare font CFF contraffatti.
Il team che ha scoperto il baco afferma di aver contattato diverse volte Apple per rilevare la pericolosità del bug ma, non avendo questa rilasciato alcun update, ha deciso di rendere pubblica la scoperta, sperando che in questo modo la società di Cupertino rilasci in modo più solerte una patch.
[A cura di Mauro Notarianni]
