Project Zero, il team di Google formato da analisti di sicurezza informatica che si occupano dell’individuazione di vulnerabilità zero-day, ha individuato e reso pubblica una grave falla nel kernel di macOS che potrebbe essere sfruttata da un attacker per ottenere accesso al computer senza che l’utente se ne renda conto.
Della vulnerabilità si parla nel bug tracker di Chrome e il sito Neowin spiega che ha a che fare con XNU, il kernel ibrido (basato su una unione del codice del microkernel Mach e del kernel monolitico BSD) utilizzato nel sistema operativo open source Darwin che Apple usa come base per il suo sistema operativo macOS.
I ricercatori hanno scoperto che, benché macOS sfrutti la strategia COW (copy-on-write) – una tecnica di ottimizzazione che ha lo scopo di ridurre le operazioni di duplicazione delle risorse del sistema, – in alcuni casi è possibile applicare modifiche impreviste.
I ricercatori del Project Zero hanno scoperto che, modificando una immagine-disco montata, il sottosistema di virtual management non viene informato dei cambiamenti e un attaccker potrebbe in pratica attivare operazioni malevole senza che il filesystem dell’immagine montata se ne renda conto.
I ricercatori hanno informato Apple a novembre del 2018 ma l’azienda non ha ancora rilasciato una patch. Come da procedura, i bug trovati da Project Zero vengono inizialmente segnalati privatamente alle aziende interessate e resi pubblicamente visibili solo dopo che la patch viene pubblicata o dopo 90 giorni senza risoluzione.
Questa scadenza è scelta in ottemperanza della cosiddetta “responsible disclosure”, nella quale i ricercatori si impegnano a concedere il tempo necessario alle società di software per sistemare il problema prima di informare il pubblico, in modo tale che gli utenti prendano i necessari provvedimenti per evitare gli attacchi.
