Incredibili vulnerabilità scoperte in macOS da Dropbox e dai suoi consulenti

Dropbox, società che gestisce uno dei più famosi e utilizzati servizi per lo storage cloud, effettua periodicamente degli audit per controllare la presenza di eventuali vulnerabilità nella sua piattaforma. Le procedure di verifica sono affidate ad aziende specializzate che pongono sotto la lente il funzionamento di Dropbox facendo emergere eventuali bug, successivamente corretti dai tecnici dell’azienda.

Mai si sarebbero potuti immaginare, i vertici di Dropbox, che l’attività di verifica posta in essere dai consulenti di Syndis avrebbe potuto far emergere non bug insiti in Dropbox ma addirittura tre vulnerabilità critiche in macOS eventualmente utilizzabili da parte di malintenzionati per eseguire codice nocivo sui sistemi Apple solo visitando una pagina web malevola con Safari.

Se ne parla solamente oggi perché per fortuna, dopo aver ricevuto il dettagliato resoconto stilato da Dropbox e Syndis, Apple ha provveduto a risolvere le gravi falle di sicurezza presenti in macOS già a marzo 2018.

Vale però la pena rendersi conto del “potenziale” delle tre vulnerabilità venute a galla, adesso documentate per filo e per segno sul blog di Dropbox.

Un primo bug consente di far leva sulla libreria CoreTypes.bundle che consente a macOS di indicare quali tipologie di file possono essere aperte senza problemi da parte del browser Safari.
Tra queste c’era anche il formato .smi (Self-Mounting Images): ciò significa che una qualunque pagina web avrebbe potuto richiedere ai client macOS vulnerabili di montare l’immagine di un disco, dal contenuto ovviamente del tutto arbitrario.

La seconda vulnerabilità permetteva l’utilizzo non documentato del formato di file .bundle con lo switch --openfolder per disporre l’esecuzione automatica di applicazioni presentate come directory.

Infine, l’ultima lacuna consisteva nella possibilità di usare una versione modificata dell’app Terminal.app, contenente una firma digitale assolutamente valida, per provocare l’esecuzione di codice arbitrario sul sistema macOS senza “far drizzare le antenne” a Gatekeeper.

Come si vede nel video, combinando gli exploit per le tre vulnerabilità di macOS il risultato è devastante: semplicemente visitando una pagina web con Safari si poteva rischiare il caricamento automatico di malware sul proprio sistema.

Suggeriamo a tutti i possessori di macOS di verificare lo stato degli aggiornamenti del sistema operativo. Applicando tutti gli update Apple, anche quelli più recenti, si sarà certi di trovarsi al riparo da qualunque problema noto (maggiori informazioni in questo bollettino ufficiale).