In OS X 10.7.3 uno sviluppatore (probabilmente per sbaglio) ha lasciato attivo un flag che avrebbe dovuto rimanere impostato come tale solo in fase di debug permettendo in alcuni casi di visualizzare in chiaro le password degli utenti loggati dall’installazione dell’ultimo update in poi. Il problema riguarda chi ha eseguito l’aggiornamento da OS X 10.6.x Snow Leopard a Lion OS X 10.7.3 mantenendo le cartelle cifrate con la vecchia versione di FileVault (il nuovo FileVault 2, incluso di serie con Lion, cifra TUTTO il disco rigido e NON presenta il problema).
Il problema è stato individuato da un ricercatore esperto in sicurezza, David Emery, che ha pubblicato la scoperta sulla mailing list Cryptome. Poiché i dischi sui quali è attiva la vecchia versione di FileVault possono essere letti in target mode avviando la macchina nella modalità che consente di visualizzare il disco interno alla stregua di un disco rigido esterno, un malintenzionato potrebbe sfruttare la vulnerabilità e come superuser dalla shell montare la partizione con il file system, leggere il file con i dati in chiaro e riavviare la macchina ottenendo l’accesso con le credenziali di amministratore. Poiché il file di log in questione è accessibile all’infuori dell’area cifrata, chiunque ha accesso come amministratore o utente root ai dati su questa questa zona del disco, è in grado di ottenere le credenziali e l’accesso alle cartelle cifrate.
Non sappiamo se Apple è già al lavoro per risolvere il problema (che, ripetiamo, riguarda solo gli utenti che hanno aggiornato da OS X 10.6.x a OS X 10.7.3 Lion e utilizzano cartelle cifrate con la vecchia versione di FileVault). Un aggiornamento a OS X 10.7.4 è da qualche tempo nelle mani di sviluppatori e beta tester e se questo include la risoluzione al problema citato, l’update potrebbe arrivare prima del previsto.
[A cura di Mauro Notarianni]
