Apple ha da poco rilasciato l’aggiornamento GarageBand 10.1.6 per Mac: dalle note di rilascio si apprende che Cupertino ha risolto una vulnerabilità che, se sfruttata, avrebbe permesso all’attaccante di eseguire codice malevolo inserendolo nei file di salvataggio dei progetti musicali.
La vulnerabilità all’interno del software per la creazione di musica di Apple è stata scoperta da Cisco Talos, ma occorre precisare subito che difficilmente può aver avuto grande diffusione. Nel momento in cui scriviamo non si hanno notizie di attacchi effettuati con questa tecnica, anche perché la sua esistenza è diventata di pubblico dominio in contemporanea con il rilascio della patch da parte di Apple.
Secondo l’esperto che l’ha individuata i file .band di GarageBand sono suddivisi in diversi segmenti ciascuno con proprietà diverse, ma non è presente un controllo per la loro lunghezza. Così un attaccante può inserire codice malevolo nel file .band che viene eseguito all’apertura del file. Nelle note di rilascio di GarageBand 10.1.6 Cupertino spiega di aver migliorato la gestione della memoria, risolvendo così un problema di corruzione della memoria. l’aggiornamento a GarageBand 10.1.6 è disponibile tramite gli aggiornamenti automatici di macOS.
