OS X, Apple rilsascia un aggiornamento critico per Network Time Protocol

Apple ha rilasciato un importante aggiornamento per OS X da Mountain Lion in poi, compreso Yosemite. E fareste meglio ad installarlo al più presto. Ecco perché.

Parliamo di


Apple ha rilasciato nelle scorse ore un “update di sicurezza critico” legato al software NTP (Network Time Protocol) su OS X e consgglia a tutti di installarlo al più presto sui sistemi compatibili, ovvero: Yosemite, Mavericks e Mountain Lion. NPD è il servizio che consente di sincronizzare l’orologio interno di un computer in automatico attraverso la Rete.

Scoperta in origine da due membri del team di sicurezza di Google, questa vulnerabilità è stata segnalata perfino sul sito istituzionale del governo degli Stati Uniti venerdì scorso 19 dicembre. Il pericolo concreto è che qualche malintenzionato possa avvalersene per avviare codice non autorizzato prendendo in prestito i privilegi del demone ntpd:

I ricercatori del Google Security Team Neel Mehta e Stephen Roettger hanno coordinato (la scoperta di) diverse vulnerabilità CERT/CC legate al Network Time Protocol (NTP). Poiché NTP è ampiamente usato all’interno dei sistemi di controllo industriale operativi, NCCIC/ICS-CERT fornisce queste informazioni per i proprietari di infrastrutture critiche e per gli oeratori, così da aumentare la consapevolezza e portare all’identificazione di palliativi per i dispositivi affetti. ICS-CERT può rilasciare aggiornamenti a mano a mano che nuove informazioni saranno disponibili.

Queste vulnerabilità possono essere sfruttate da remoto. Sono già note minacce che prendono di mira tali vulberabilità. I prodotti che utilizzano i servizi NTP precedenti ad NPT_4.2.8 sono comunque esposti. Nessun specifico rivenditore viene menzionato poiché il protocollo è open source.

Dall’inizio dell’anno, Apple e i suoi utenti hanno dovuto fronteggiare diverse minacce, e alcune -come in questo caso- anche piuttosto preoccupanti. Ci viene alla mente ad esempio Shellshock, la falla che colpiva sia Linux che OS X, e Heartbleed, la vulnerabilità di OpenSSL che rischiava di mettere in ginocchio il Web. Tutte, per fortuna, superate senza difficoltà.

Ti potrebbe interessare